Fingeravtryckssensorer på Android-smarttelefoner är troligen det vanligaste tillägget till dessa bärbara tekniska delar. Även om det är bekvämt att en enda placering av ett finger eller tumme kan ge handenhetsägaren åtkomst till enheten, finns det en säkerhetsrisk. Vissa forskare har visat att kapning av fingeravtryck lagrade på olika enheter som kör Android är möjligt genom ett billigt kretskort för $15.
iPhones är tydligen immuna mot detta utnyttjande, vilket visades i ett nytt test som involverar olika Android-smarttelefonmodeller
Kretskortet för $15 kallas BrutePrint av forskare, och det kan ta så lite som 45 minuter att samla de lagrade fingeravtrycken från en Android-smarttelefon. För att visa att det fungerar testade dessa forskare det på 10 smartphones, varav två var iPhone SE och iPhone 7, medan de återstående var avancerade modeller som körde Googles mobila OS och var några år gamla.
BrutePrint består av en STM32F412 mikrokontroller från STMicroelectronics, en dubbelriktad, dubbelkanalig analog switch kallad RS2117, ett SD-kort med 8 GB internminne och en kontakt som ansluter smartphonens moderkort till kretskortet på en fingeravtryckssensor. BrutePrint utnyttjar en sårbarhet i Android-smarttelefoner som tillåter obegränsade fingeravtrycksgissningar, där enheten låses upp så snart den närmaste matchningen hittas i databasen.
Men varje Android-smarttelefon skapas på olika sätt, med Ars Technica rapporterar att forskarna fann att det tog allt från 40 minuter till 14 timmar att låsa upp en telefon. Av alla de 10 testade modellerna tog Galaxy S10 Plus minst tid att låsa upp, mellan 0,73-2,9 timmar, medan Xiaomi Mi 11 Ultra tog mellan 2,78-13,89 timmar att låsa upp. Forskarna hade ingen framgång att kringgå säkerheten för de två testade iPhone-modellerna eftersom iOS krypterar dessa säkerhetsdata, medan Android inte gör det, vilket kan orsaka viss oro för konsumenterna.
Lyckligtvis tror dessa forskare att denna säkerhetsexploatering kan mildras i operativsystemet, eftersom individerna hoppas att dess senaste fynd kommer att uppmuntra människor att vidta försiktiga åtgärder för att kryptera fingeravtrycksdata. Vidare konstaterar dessa forskare att ett sådant säkerhetshot kan åtgärdas om tillverkare av smartphones och fingeravtryckssensorer arbetar tillsammans i en kollektiv ansträngning. Nu återstår bara framtida Android-smarttelefoner med förbättrad säkerhet.
Det är troligt att det under normala omständigheter är vansinnigt svårt att kringgå en Android-smarttelefons fingeravtryckssäkerhet, men det betyder inte att tillverkarna helt och hållet ignorerar detta utnyttjande, vilket är möjligt genom en billig del av kretsar.
Nyhetskälla: Ars Technica