Smartfóny dnes používa drvivá väčšina z nás. Máme v nich uložené citlivé osobné údaje, fotografie, aplikácie, komunikácie a mnoho ďalšieho. Preto je pochopiteľné, že sa výrobcovia snažia svoje zariadenia vybavovať čo najspoľahlivejšími bezpečnostnými systémami. Žiaľ, ako ukázal nový experiment, tieto bezpečnostné systémy ešte majú čo dobiehať.
Ako totiž píše server Phone Arena, Yu Chen zo spoločnosti Tencent a Yiling He z Čeťiangskej univerzity zistili, že obranu niektorých smartfónov je možné prekonať použitím falošných odtlačkov prstov.
Reč je o útoku nazývanom BrutePrint, na ktorého realizáciu je potrebná malá doštička s mikroovládačom, analógovým prepínačom, pamäťovou kartou a konektorom. Táto doštička pritom vychádza len na 15 dolárov. Ďalšou podmienkou je, aby mal útočník prístup k vybranému smartfónu po dobu aspoň 45 minút, a aby získal prístup k databáze.
Odborníci v súvislosti s týmto útokom testovali celkovo osem Android smartfónov, a to Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, Oppo Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate 30 Pro 5G a Huawei P40. Testovali však aj dva iPhony, a to iPhone SE a iPhone 7.
Všetky Androidy poľavili, z iPhonov ani jeden
Bežne majú smartfóny obmedzený počet pokusov na odomknutie prostredníctvom odtlačku prsta. Útočník však vďaka použitiu BrutePrint dokáže tento limit obísť, pričom pri overovaní odtlačku nepotrebuje priamu zhodu zadaných hodnôt s hodnotami v databáze. Na určenie zhody sa totiž používa referenčná hranica.
To znamená, že útočník môže odtlačky skúšať dovtedy, kým nenájde jeden, ktorý je takmer zhodný s hodnotami odtlačku uloženého v databáze, čím dokáže prelomiť bezpečnosť smartfónu a odomknúť ho.
Odborníkom sa týmto spôsobom podarilo odomknúť všetkých osem Android smartfónov, ktoré boli do experimentu zahrnuté. Naopak, z iPhonov nepoľavil ani jeden.
Kľúčovým rozdielom je, že iPhone, resp. iOS, šifruje dáta. Android ich nešifruje, čo záškodníkom využívajúcim BrutePrint umožňuje celkom ľahko získať prístup k dátam potrebným na zahájenie útoku.
