Исследователи из Tencent Labs и Чжэцзянского университета представили новую атаку BrutePrint, которая брутфорсит отпечатки пальцев на современных смартфонах, чтобы обойти аутентификацию и получить контроль над устройством. Атаку удалось реализовать через две уязвимости нулевого дня, а именно Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL).
Кроме того, авторы исследования обнаружили, что биометрические данные в Serial Peripheral Interface (SPI) недостаточно хорошо защищены, что позволяет провести атаку типа man-in-the-middle для перехвата изображений отпечатков пальцев.
Атаки BrutePrint и SPI MITM были протестированы на десяти популярных моделях смартфонов с неограниченным количеством попыток на всех устройствах под управлением Android и HarmonyOS (Huawei), а также с 10 дополнительными попытками на устройствах на iOS. О результатах этих тестов поговорим чуть ниже.
Основная идея BrutePrint заключается в том, чтобы отправлять неограниченное количество изображений отпечатков пальцев на целевое устройство до тех пор, пока не будет подобран отпечаток пальца заданный пользователем.
Для такой атаки злоумышленнику потребуется физический доступ к устройству, база данных отпечатков пальцев, которую можно получить из академических наборов данных или утечек биометрических данных, а также оборудование общей стоимостью около 15 долларов.
В отличие от взлома паролей, при подборе отпечатков пальцев используется не конкретное значение, а эталонный порог, поэтому злоумышленники могут манипулировать коэффициентом ложного принятия (False Acceptance Rate, FAR), чтобы увеличить порог и легче добиваться совпадений.
По сути, BrutePrint происходит между сенсором для отпечатков пальцев и доверенной средой выполнения (Trusted Execution Environment, TEE), эксплуатируя уязвимость CAMF для манипулирования механизмами мультивыборки и устранения ошибок при аутентификации по отпечатку.
Благодаря CAMF осуществляется инжект ошибки контрольной суммы в данные отпечатка пальца, чтобы остановить процесс аутентификации на ранней стадии. Это позволяет перебирать отпечатки, а системы защиты смартфона не регистрируют неудачные попытки, что предоставляет злоумышленнику бесконечное количество попыток.
В свою очередь, уязвимость MAL позволяет злоумышленникам получать результаты аутентификации для изображений отпечатков, которые они перебирают на целевом устройстве, даже если последнее находится в режиме блокировки. Хотя во время блокировки устройство не должно отвечать на попытки разблокировки, MAL помогает обойти это ограничение.
Последний компонент атаки BrutePrint — использование системы «neural style transfer» для преобразования всех изображений отпечатков в БД таким образом, чтобы они выглядели так, будто их отсканировало целевое устройство. Благодаря этому изображения выглядят более достоверными и, следовательно, имеют больше шансов на успех.
Исследователи пишут, что провели тесты на десяти устройствах под управлением Android и iOS (Samsung, Xiaomi, OnePlus, Vivo, OPPO, Huawei и Apple) и обнаружили, что все они уязвимы как минимум перед одной из описанных проблем.
Выяснилось, что устройства на Android позволяют перебирать отпечатки пальцев бесконечно, поэтому подбор отпечатка пальца пользователя и разблокировка устройства возможны при достаточном количестве времени. В iOS аутентификация защищена гораздо лучше, что эффективно предотвращает брутфорс-атаки.
Хотя исследователи обнаружили, что iPhone SE и iPhone 7 уязвимы перед CAMF, они смогли увеличить количество попыток проверки отпечатков пальцев только до 15, а для брутфорса этого явно недостаточно.
Что касается атаки SPI MITM, которая включает в себя перехват изображения отпечатка пальца пользователя, все протестированные устройства Android уязвимы, а iPhone снова устоял. Исследователи объясняют, что iPhone шифрует данные отпечатков в SPI, поэтому перехват не имеет большого значения в контексте атаки.
Проведенные эксперименты показали, что время, необходимое для успешного выполнения атаки BrutePrint, колеблется от 2,9 до 13,9 часов, если пользователь зарегистрировал в системе только один отпечаток пальца. Если на целевом устройстве регистрируется несколько отпечатков пальцев, время перебора сокращается до 0,66–2,78 часа, поскольку вероятность создания совпадающих изображений увеличивается в геометрической прогрессии.
Авторы BrutePrint отмечают, что такие атаки могут быть крайне полезны, например, для воров и правоохранительных органов. В первом случае преступники могут разблокировать украденные устройства и свободно извлекать их них ценные личные данные. А во втором случае речь уже идет о неприкосновенности частной жизни и этичности использования подобных методов для обхода защиты устройств во время проведения расследований.