暴力攻击以其反复试验的方法而闻名,其中尝试多种组合来代码或密码并获得对受保护系统的未经授权的访问。在这种情况下,中国研究人员成功地克服了现代智能手机上的现有保护措施,利用了两个名为“匹配失败后取消”(CAMF)和“锁定后匹配”(MAL)的零日漏洞。
这就是这个方法的工作原理
这项发表在Arxiv.org上的技术研究进一步表明,指纹传感器通过串行外设接口(SPI)捕获的生物识别数据没有得到充分保护。这使得中间人(MITM)攻击能够获取指纹图像,从而促进操纵过程。
研究人员在十种流行的智能手机型号上测试了BrutePrint和MITMSPI攻击。结果显示,Android和HarmonyOS()设备容易受到无限次尝试,而iOS则允许额外尝试10次,这表明iPhone在安全性和系统漏洞方面要高效得多。
屏幕指纹识别器
BrutePrint的工作原理是向智能手机发送无限数量的指纹图像,直到与用户定义的指纹进行匹配。然而,这种攻击需要对计算机进行物理访问以及可以从泄漏或学术数据集中获取的指纹数据库。
与传统的暴力密码方法不同,BrutePrint攻击利用了指纹匹配中使用的基线阈值。攻击者可以操纵错误接受率(FAR)来提高接受阈值,从而更容易地生成匹配。
Android仍然容易受到攻击
尽管BrutePrint攻击需要长时间访问相关Android手机,但这并不限制其对分子和执法部门的价值。前者可以解锁被盗设备并访问有价值的私人信息,而后者在调查期间使用这些技术逃避终端安全时会引发隐私权和道德问题。
安卓安全漏洞
值得注意的是,根据研究人员的说法,运行Android系统并经过测试的手机允许测试无限数量的指纹,这意味着实际上可以强制使用所有者的指纹,如果您有足够的时间。相比之下,iOS上的身份验证安全性要强大得多,可以有效阻止暴力攻击。
尽管研究人员也发现了iPhoneSE和iPhone7等苹果智能手机的漏洞,但他们只能将指纹尝试次数增加到15次,这不足以克服机主的安全问题。