BrutePrint: Zaštita pametnih telefona otiskom prsta nije pouzdana koliko se mislilo

Mobilni telefoni, 01.06.2023, 10:30 AM

Opšte je prihvaćeno mišljenje da je prepoznavanje otiska prsta prilično siguran metod autentifikacije. Ipak, s vremena na vreme se pojave publikacije o različitim načinima na koje je moguće prevariti senzore otiska prsta, ali sve ove metode na ovaj ili onaj način svode se na fizičku imitaciju prsta vlasnika telefona, bilo da se koristi silikonska podloga ili odštampani otisak prsta. Ovo znači da napadač mora da ima sliku prsta visokog kvaliteta, i to ne bilo kog prsta, već onog koji je registrovan u sistemu.

Ukratko, sve ove metode u stvarnom svetu nisu lako primenljive. Međutim, kineski istraživači Ju Čen i Jiling He nedavno su objavili studiju o tome kako je moguće otključati skoro svaki Android pametni telefon zaštićen otiskom prsta a taj napad su nazvali BrutePrint.

Otisci prstiju su zaista jedinstveni i nikada se ne menjaju. Daleke 1892. godine, engleski naučnik Francis Galton objavio je rad pod nazivom Otisci prstiju u kome je sumirao tada aktuelne naučne podatke o otiscima prstiju, a ovaj rad je postavio teorijske osnove za dalju praktičnu upotrebu otisaka prstiju u forenzici.

Međutim, Galtonov rad i sve što je iz njega proizašlo odnosi se na (topli) analogni svet u kome se otisci prstiju uzimaju na mestu zločina i uparuju se sa otiscima prstiju osumnjičenih. Ali stvari su nešto drugačije u (hladnoj) digitalnoj stvarnosti. Kvalitet predstavljanja digitalnog otiska prsta zavisi od više faktora: vrste senzora, veličine i rezolucije i obrade „slike“ i algoritama za uparivanje.

Pored toga, proizvođač mora da napravi uređaj čija će cena biti prihvatljiva ili ga niko neće kupiti, mora biti postignuta autentifikacija u deliću sekunde i moraju se izbeći lažne negativne identifikacije ili će korisnici odustati od takvog načina autentifikacije. Rezultat svih ovih težnji je to da su to ne baš tačni sistemi autentifikacije.

Dakle, kada se govori o senzorima koji se koriste u pametnim telefonima, za verovatnoću podudaranja fragmenata otiska prsta navode se mnogo manje optimistične brojke od čuvenih 1 do 64 milijarde koje je još 1892. naveo Galton. Na primer, Apple procenjuje verovatnoću za Touch ID na 1 do 50.000. Dakle, može se pretpostaviti da će se za jeftine modele senzora verovatnoća biti dodatno smanjena, što nas sa milijardi dovodi na hiljade i na grubu silu (brute-forcing).

Haker ima samo jedna prepreku: ograničenje broja pokušaja prepoznavanja otiska prsta. Obično ih je dozvoljeno samo pet, nakon čega će morati da napravi pauzu sa pokušajima otključavanja.

Može li se ova prepreka prevazići? Ju Chen i Jiling He dali su potvrdan odgovor na to pitanje u svojoj studiji.

BrutePrint je zasnovan na nedostacima u implementaciji generičkog senzora otiska prsta na Android pametnim telefonima: nijedan od testiranih modela nije šifrovao komunikacioni kanal između senzora i sistema. Ovo stvara priliku za MITM napad na sistem za autentifikaciju: sa uređajem koji je povezan sa pametnim telefonom preko SPI porta na matičnoj ploči, mogu se presretati dolazne poruke sa senzora otiska prsta i slati sopstvene poruke emulacijom senzora otiska prsta.

Istraživači su napravili takav uređaj (pseudo-senzor) i dopunili ga gedžetom za automatsko kliktanje na ekran senzora pametnog telefona. Tako je deo hardverske komponente podešen da šalje više slika otisaka prstiju na pametne telefone u automatskom režimu.

Istraživači nisu otkrili izvor svoje baze podataka sa otiscima prstiju.

Baza podataka sa otiscima prstiju je dostavljena AI da bi generisala nešto poput rečnika otisaka prstiju kako bi se maksimizirale performanse autentifikacije grubom silom. Slike otiska prsta koje je AI prilagodila da odgovaraju onima koje generišu senzori instalirani na pametnim telefonima koji su testirani u studiji.

BrutePrint napad koristi dve ranjivosti koje su pristune na svim Android pametnim telefonima bez izuzetka. Ranjivosti su nazvane Cancel-After-Match-Fail i Match-After-Lock.

Cancel-After-Match-Fail (CAMF) koristi dve važne karakteristike mehanizma autentikacije otiskom prsta. Prva je činjenica da se oslanja na višestruko uzorkovanje, što znači da svaki pokušaj autentifikacije koristi ne samo jednu već niz od dve do četiri slike otiska prsta (u zavisnosti od modela pametnog telefona). Druga je činjenica da, pored neuspeha, pokušaj autentifikacije takođe može dovesti do greške, i u tom slučaju vraćamo se na početak. Dakle, ako jedna od slika u nizu pokrene podudaranje, izvršiće se uspešna autentifikacija. Ako ne, ciklus će se završiti greškom, nakon čega se može poslati nova serija slika bez gubljenja pokušaja.

Druga ranjivost je Match-After-Lock (MAL). Logika autentifikacije otiskom prsta obezbeđuje duži period zaključavanja nakon neuspelog pokušaja, ali mnogi prodavci pametnih telefona ne uspevaju da pravilno implementiraju ovu funkciju u svojim verzijama Androida. Dakle, iako uspešna autentifikacija otiskom prsta nije moguća u režimu zaključavanja, i dalje se može poslati sve više i više novih slika, na koje će sistem i dalje odgovoriti odgovorom „tačno“ ili „netačno“. Odnosno, kada otkrijete ispravnu sliku, možete je koristiti čim sistem bude van blokade, čime ćete završiti uspešnu autentifikaciju.

Napad koji je iskorišćavao prvu ranjivost bio je uspešan za sve testirane pametne telefone sa Androidom, ali iz nekog razloga nije funkcionisao sa HarmonyOS. Match-After-Lock je iskorišćen na Vivo i Xiaomi pametnim telefonima, kao i na dva Huawei telefona koji koriste HarmonyOS.

Svi Android i HarmonyOS pametni telefoni koji su učestvovali u studiji ranjivi su na najmanje jedan od opisanih napada. To znači da su svi dozvolili neograničen broj zlonamernih pokušaja autentifikacije otiskom prsta.

Prema studiji, bilo je potrebno od 2,9 do 13,9 sati da se hakuje sistem za autentifikaciju Android pametnog telefona sa samo jednim registrovanim otiskom prsta. Ali za pametne telefone sa maksimalnim mogućim brojem registrovanih otisaka prstiju za dati model (četiri za Samsung, pet za sve ostale), vreme je znatno smanjeno: njihovo hakovanje je trajalo od 0,66 do 2,78 sati.

Pokazalo se da je Touch ID sistem koji se koristi na iPhone uređajima otporniji na BrutePrint. Prema studiji, glavna prednost iPhonea je u tome što je komunikacija između senzora otiska prsta i ostatka sistema šifrovana. Dakle, ne postoji način da presretnete ili unesete sistemu pripremljeni otisak prsta na uređaju koji ima Touch ID.

Studija ističe da iPhone uređaji mogu biti delimično ranjivi na manipulacije koje se koriste da bi se maksimizirao broj mogućih pokušaja prepoznavanja otiska prsta. Međutim, nije tako loše kao što možda zvuči: dok Android pametni telefoni omogućavaju da zabava traje zauvek, sa iPhoneom se broj pokušaja može povećati sa 5 na samo 15.

Dakle, korisnici iOS-a mogu biti mirni: Touch ID je mnogo pouzdaniji od autentifikacije otiskom prsta koja se koristi i na Androidu i u HarmonyOS. Pored toga, danas većina iPhone modela ionako koristi Face ID.

Ni vlasnici Android pametnih telefona ne moraju biti previše zabrinuti zbog BrutePrinta jer u praksi napad jedva da predstavlja pretnju. Postoji nekoliko razloga za to a jedan od njih je da BrutePrint zahteva fizički pristup uređaju. Sam ovaj faktor u velikoj meri smanjuje verovatnoću da vam se nešto ovako dogodi. Da bi izveo napad, napadač mora da otvori uređaj i koristi određeni konektor na matičnoj ploči a to je teško učiniti bez znanja vlasnika. Čak i u najboljem slučaju, napad će zahtevati dosta vremena, tačnije sate i sate. I, naravno, BrutePrint zahteva posebno podešavanje, i hardversko i softversko, uključujući posebnu opremu, bazu podataka o otiscima prstiju i obučenu veštačku inteligenciju.

Sve ovo čini takav napad malo verovatnim u stvarnom životu, osim ako neko ne napravi komercijalni proizvod koji je lak za upotrebu na osnovu ove studije.

Ako, uprkos tome, verujete da biste mogli postati žrtva takvog napada, možete se zaštititi tako što ćete registrovati što je moguće manje otisaka prstiju (idealno samo jedan). Što više prstiju koristite za autentifikaciju, sistem postaje ranjiviji na ovakav, kao i na druge napade. Takođe, koristite PIN ili zaštitu lozinkom za aplikacije koje imaju ovu opciju.

Foto: Yogesh Rahamatkar / Unsplash

Izvor: Kaspersky