Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
HeimAndroid-Fingerabdruckbiometrie fällt durch „BrutePrint“-Angriff zum Opfer
Endpunktsicherheit, Identitäts- und Zugriffsmanagement, Sicherheitsoperationen
Sicherheitsforscher haben einen praktischen Angriff demonstriert, mit dem sich biometrische Fingerabdruckprüfungen umgehen und sich beim Android-Smartphone eines Ziels anmelden lassen.
Siehe auch: Live-Webinar | Pegasus entlarven: Erkennen Sie die Bedrohung und stärken Sie Ihre digitale Verteidigung
Die Sicherheitsforscher Yu Chen von Tencent und Yiling He von der Zhejiang-Universität enthüllten den Angriff, den sie „BrutePrint“ nannten, in einem neuen Forschungspapier. Ihr Brute-Force-Angriff sei kostengünstig, praktisch in großem Maßstab einsetzbar und könne zum Anmelden bei Geräten sowie zum Autorisieren von Zahlungen verwendet werden, sagten sie.
Um solche Angriffe zu vereinfachen, erläuterten die Forscher detailliert, wie für jeden anzugreifenden Gerätetyp eine Leiterplatte erstellt werden kann, die etwa 15 US-Dollar kostet und die Angriffssequenz automatisieren kann. Daher ist nur wenig Erfahrung oder Schulung erforderlich, um BrutePrint der breiten Masse zugänglich zu machen.
Seit Apple 2013 die Touch ID-Funktion eingeführt hat, haben zahlreiche Smartphone-Hersteller Geräte auf den Markt gebracht, die Nutzer per Fingerabdruck entsperren können. Fingerabdruck-Biometrie bietet eine Kombination aus Benutzerfreundlichkeit und Sicherheit – zumindest wenn sie wie versprochen funktioniert.
Forscher haben innovative Wege gefunden, Sicherheitskontrollen auf Fingerabdruckbasis zu umgehen. Zu den denkwürdigsten Methoden gehören Gummibärchen, Play-Doh, Fotokopien und Holzleim. Als Reaktion darauf haben die Hersteller nach zu vielen Fehlversuchen weiterhin Sicherheitsfunktionen wie Sperrvorrichtungen hinzugefügt und kapazitive Tests eingesetzt, um zu erkennen, ob ein Finger echt ist (siehe: Biometrie: Fortschrittliche Smack-Down-Workarounds).
Yu und Yiling sagten, BrutePrint erlaube ihnen, die Spoof-Erkennung zu umgehen und versuche, die Anzahl der Versuche auf zehn verschiedenen Android-Geräten zu begrenzen, darunter Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 und Samsung Galaxy S10 Plus. Die Techniken könnten verwendet werden, um ein anfälliges Gerät in fast drei Vierteln der Fälle zu entsperren, sagten sie.
Um die Versuchsbeschränkungen zu umgehen, nutzten die Forscher zwei Zero-Day-Schwachstellen im Smartphone-Fingerabdruck-Authentifizierungs-Framework – auch bekannt als SFA – auf Android-Geräten aus. Sie zielten auch auf schwache Sicherheitsvorkehrungen bei der Implementierung der seriellen Peripherieschnittstelle von Fingerabdrucksensoren ab, um zu versuchen, Kopien gespeicherter Fingerabdrücke zurückzuentwickeln. Obwohl dies nicht unbedingt erforderlich ist, sagen die Forscher, dass die Wiederherstellung von Fingerabdrücken die Erfolgsaussichten von BrutePrint erhöht.
BrutePrint verläuft in vier Phasen:
Während der Angriff auf jedem von den Forschern getesteten Android-Gerät funktionierte, schlug er auf beiden von ihnen getesteten Apple-Modellen – einem iPhone 7 und einem SE – fehl, da dort Fingerabdruckdaten in verschlüsselter Form gespeichert wurden und Schutzmaßnahmen vorhanden waren, die die Eingabe der Fingerabdruckdaten verhindern entführt werden.
Ratenbegrenzungen, die ein Gerät nach zu vielen fehlgeschlagenen Fingerabdruck-Authentifizierungsversuchen sperren, sind ein Merkmal aller modernen Smartphone-Betriebssysteme. Die SFA-Bugs, auf die die Forscher im Rahmen von BrutePrint abzielten, ermöglichten es ihnen, die Abwehrmaßnahmen zur Ratenbegrenzung zu umgehen, was ihnen unendlich viele Erfolgsversuche ermöglichte. Sie sagten, diese Fähigkeit sei nach wie vor unerlässlich, da erfolgreiche Angriffe Stunden dauern könnten.
Die Liveness-Erkennung ist ein weiterer weit verbreiteter Schutz, der darauf abzielt, gefälschte Eingaben zu blockieren. Um dies zu verhindern, verwenden die Forscher das Cycle Generative Adversarial Network, auch bekannt als CycleGAN, eine Technik, die ein neuronales Netzwerk trainiert, ein Bild in ein anderes zu übersetzen. Sie sagten, dass sie mithilfe von CycleGAN Wörterbuchbilder in ausreichender Qualität erstellen könnten, die bei den Sicherheitsprüfungen eines Smartphones korrekt genug aussehen, damit BrutePrint in 71 % der Fälle auf jedem Android-Gerät erfolgreich ist.
Die Forscher sagten, dass die Schwachstellen, auf die BrutePrint abzielt, durch Betriebssystem-Updates geschlossen werden könnten oder wenn Hersteller von Smartphones und Fingerabdrucksensoren enger zusammenarbeiten, um Gegenmaßnahmen zu entwickeln.