指紋識別也不保險 「BrutePrint」暴力破解智慧型手機
編譯/陳佩君
文中指出有一種對網路安全構成威脅的新暴力破解方式,這種攻擊被稱為「BrutePrint」,它利用暴力破解技術來破解密碼和取得非法訪問,駭客使用強大的計算資源和自動化工具,試圖猜測和破解用戶的密碼,從而入侵他們的帳戶或系統。
該手法利用智慧型手機指紋識別(SFA)框架中的Cancel-After-Match-Fail(CAMF,配對失敗後取消)和Match-After-Lock(MAL,鎖定後配對)兩個漏洞。駭客僅用15美元(新台幣約460元)的成本進行攻擊,透過CAMF漏洞使指紋數據檢查和驗證碼無效來增加系統容錯能力,從而使攻擊進行無限次嘗試。另利用MAL漏洞在目標設備上推斷出指紋圖像的配對情況,在多次重複登入嘗試後進入鎖定模式。此繞過對於失敗的生物特徵驗證嘗試的邏輯缺陷所設置的限制,這是在指紋感測器的串行外設介面(Serial Peripheral Interface Bus,SPI)對指紋數據的不足保護所導致。
在實驗設置中,BrutePrint在來自Apple、OnePlus、OPPO、vivo、華為、三星、小米的10種不同型號的智慧型手機上進行了評估,對於Android和HarmonyOS系統,可以進行無限次嘗試,對於iOS系統,則可以進行額外10次嘗試。
「BrutePrint」攻擊是一種新的暴力攻擊方式並威脅網路安全,對個人和組織的敏感資訊造成潛在的風險,包括隱私洩露和金融損失等。為了保護網路安全,我們應該使用強大且特殊的密碼,並定期更換。此外,使用多因素身份驗證(MFA)和更新安全軟體也是重要的安全措施,學習並提高對網路安全的意識也是防止暴力攻擊的關鍵。通過這些措施,可以提高網路安全,保護個人和組織的資訊免受攻擊。
資料來源:The Hacker News
瀏覽 940 次
