Android Telefonların Parmak İzi Kilidi Savunmasız
Çinli araştırmacılar, Android akıllı telefonlardaki parmak izi kilidini, bir şifreyi, kodu veya başka bir güvenlik koruma biçimini bulmak için çok sayıda deneme yapılması anlamına gelen kaba kuvvet saldırısı kullanarak aşabileceklerini keşfettiler. Kaba kuvvet saldırılarına karşı korunmak için, Android telefonlarda genellikle bir kullanıcının yapabileceği deneme sayısını sınırlama ve canlılık algılama gibi önlemler bulunur. Ancak araştırmacılar, Cancel-After-Match-Fail (CAMF) ve Match-After-Lock (MAL) olarak adlandırılan iki güvenlik açığını kullanarak bu önlemleri atlamayı başardı.
MITM Saldırısıyla Parmak İzi Verileri Çalınabilir
Parma izi sensörlerinin Seri Çevresel Arayüzündeki (SPI) biyometrik verilerin kapsamlı bir korumadan yoksun olduğu ve böylece MITM saldırısının parmak izlerini çalmasına izin verdiği keşfedildi. Araştırmacılar BrutePrint adı verilen kaba kuvvet saldırısını on popüler akıllı telefon modeli üzerinde test ettiler. Android ve HarmonyOS (Huawei) telefonlarda sınırsız sayıda parmak izi giriş denemesi yapabildiler. iPhone SE ve iPhone 7'de yapılan denemelerde ise güvenlik önlemleri aşılamadı.
BrutePrint Yalnızca Bir Parmak İzi Ayarlanmış Cihaza Girebiliyor
Analize göre, BrutePrint yalnızca bir parmak izi ayarlanmış bir cihaza 2,9 ila 13,9 saat arasında girebiliyor. Birden fazla parmak izi olanlarda ise saldırganın eşleşme bulma şansı daha yüksek olduğundan başarı süresi 0,66 saat ile 2,78 saat arasına düşüyor. Öte yandan kolluk kuvvetlerinin veya devlet kurumlarının bu açıklardan kolayca yararlanabileceği belirtiliyor.
