द्वारा हाल ही में किया गया एक अध्ययन टेनसेंट लैब्स e Zhejiang विश्वविद्यालय (वाया बीपिंगकंप्यूटर) एक नए प्रकार के हमले को प्रकाश में लाया, जिसे "ब्रूटप्रिंट हमला“, जिसका उपयोग एंड्रॉइड और आईओएस स्मार्टफोन पर फिंगरप्रिंट पहचान प्रणाली को क्रैक करने के लिए किया जा सकता है। यह हमला आपको किसी अन्य व्यक्ति के मोबाइल डिवाइस पर नियंत्रण लेने की अनुमति देता है, सुरक्षा उपायों से अधिक स्मार्टफोन पर लागू किया गया।
एंड्रॉइड और आईओएस स्मार्टफ़ोन पर फ़िंगरप्रिंट पहचान प्रणाली को हैक करने के लिए ब्रूटप्रिंट अटैक का उपयोग कैसे किया जा सकता है
शोधकर्ताओं उन्होने सफलता प्राप्त की स्मार्टफोन की सुरक्षा से बचने के लिए, जैसे कि फिंगरप्रिंट पहचान प्रयासों की संख्या पर सीमा, दो शून्य-दिन की कमजोरियों का फायदा उठाकर, जिसे के रूप में जाना जाता है रद्द करना-मैच के बाद-विफल होना (सीएएमएफ) ई मैच-आफ्टर-लॉक (एमएएल)। प्रकाशित तकनीकी दस्तावेज़ के अनुसार, विद्वानों ने फिंगरप्रिंट बायोमेट्रिक डेटा के प्रबंधन में एक अंतर की पहचान की है। एसपीआई इंटरफ़ेस से गुजरने वाली जानकारी है अपर्याप्त रूप से संरक्षित, एक मैन-इन-द-मिडिल (एमआईटीएम) हमले को संभव बनाता है जो आपके मोबाइल डिवाइस पर स्कैन की गई फिंगरप्रिंट छवियों को हाईजैक कर सकता है।
इंटरफ़ेस SPI (सीरियल पेरिफेरल इंटरफ़ेस) इलेक्ट्रॉनिक्स में व्यापक रूप से उपयोग किया जाने वाला एक सिंक्रोनस सीरियल संचार प्रोटोकॉल है। यह प्रोटोकॉल मोटोरोला द्वारा 80 के दशक में विकसित किया गया था और है एक वास्तविक मानक बन गया है डिजिटल उपकरणों के बीच संचार के लिए।
यह भी पढ़ें: Xiaomi फिंगरप्रिंट से स्मार्टफोन अनलॉकिंग में क्रांति लाना चाहता है
दस लोकप्रिय स्मार्टफोन मॉडलों पर ब्रूटप्रिंट और एसपीआई एमआईटीएम हमलों का परीक्षण किया गया, जिसके परिणामस्वरूप सभी उपकरणों में असीमित फिंगरप्रिंट लॉगिन प्रयास हुए Android e HarmonyOS (हुआवेई) और दस और डिवाइस प्रयास iOS. BrutePrint का लक्ष्य लक्ष्य डिवाइस पर असीमित संख्या में फ़िंगरप्रिंट छवि भेजना है जब तक कि फ़िंगरप्रिंट को वैध और फ़ोन को अनलॉक करने के लिए अधिकृत न मान लिया जाए।.
BrutePrint भेद्यता फ़िंगरप्रिंट सेंसर और विश्वसनीय निष्पादन वातावरण (TEE) के बीच स्थित है। यह हमला पहचान तंत्र में हेरफेर करने के लिए एक दोष का फायदा उठाता है। फ़िंगरप्रिंट डेटा में कोई त्रुटि डालने से, प्रमाणीकरण प्रक्रिया असामान्य रूप से समाप्त हो गई है, संभावित हमलावरों को विफल लॉगिन प्रयासों की संख्या को रिकॉर्ड किए बिना लक्ष्य डिवाइस पर उंगलियों के निशान का परीक्षण करने की अनुमति देता है।
पहली नज़र में, BrutePrint एक दुर्जेय हमले की तरह प्रतीत नहीं हो सकता है डिवाइस तक लंबे समय तक पहुंच की आवश्यकता. हालाँकि, इस बात से स्मार्टफोन मालिकों का ध्यान कमजोर नहीं होना चाहिए।
