このブログ投稿では、フィンガープリント ブルート フォース攻撃に対する Android スマートフォンの脆弱性について詳しく説明します。 Bleeping Computer で放送されたニュースのオリジナル ソース。
指紋ブルートフォース攻撃について
指紋ブルートフォース攻撃は、スマートフォンの指紋認証システムを繰り返しクラッキングする試みに依存しており、不正なアクセスとデバイスの制御を獲得することを目的としています。 これらの攻撃は、特定の Android デバイスに実装されているセキュリティ対策の脆弱性を悪用します。
ゼロデイ脆弱性の悪用
テンセント研究所と浙江大学の研究者らは最近、「BrutePrint」として知られる新たな攻撃手法を発見した。 研究者らは、Cancel-After-Match-Fail (CAMF) と Match-After-Lock (MAL) という 2 つのゼロデイ脆弱性を悪用することで、最新のスマートフォンに対するブルート フォース攻撃から保護する既存の保護手段をバイパスすることができました。
BrutePrint の仕組み
BrutePrint では、ユーザー定義の指紋との一致が見つかるまで、攻撃者が無制限の数の指紋画像を標的のデバイスに送信します。 この攻撃を開始するには、デバイスへの物理的なアクセスと、学術データセットや生体認証データの漏洩から取得できる指紋データベースへのアクセスが必要です。 必要な機器の費用は約 15 ドルです。
認証メカニズムの操作
パスワード クラッキングとは異なり、指紋認証は特定の値ではなく参照しきい値に依存します。 攻撃者は、不正受入率 (FAR) を操作して受入しきい値を上げ、マッチングを容易にすることができます。 BrutePrint は、CAMF の脆弱性を悪用して、スマートフォンの指紋認証のマルチサンプリングとエラーキャンセルのメカニズムを操作します。
ロックアウトモードの克服
MAL の欠陥により、デバイスが「ロックアウト モード」にある場合でも、攻撃者は指紋画像の認証結果を推測できます。 ロックアウト モードは、ロック解除試行が一定回数連続して失敗するとアクティブになります。 ただし、MAL の脆弱性はこの制限を回避するのに役立ち、攻撃者がブルート フォース攻撃を継続できるようになります。
影響と緩和策
BrutePrint 攻撃は、人気のあるスマートフォン 10 モデルに対してテストされた結果、すべての Android および HarmonyOS (Huawei) デバイスは無制限の試行に対して脆弱である一方、iOS デバイスではさらに 10 回の試行が可能であることが明らかになりました。 この脆弱性は、指紋ブルート フォース攻撃から保護するために、Android デバイスに対するより強力なセキュリティ対策の必要性を浮き彫りにしています。
デバイスの保護: 指紋ブルートフォース攻撃からの保護
Android スマートフォンには指紋ブルートフォース攻撃に対する脆弱性があり、ユーザーのプライバシーとデバイスのセキュリティに関する懸念が生じています。 デバイス メーカーやソフトウェア開発者にとって、堅牢なセキュリティ対策と定期的なソフトウェア アップデートを実装することで、これらの脆弱性に対処することが重要です。
指紋認証に関連する潜在的なリスクを理解し、デバイスのセキュリティに常に注意を払うことで、ユーザーはそのような攻撃の影響を軽減し、個人情報を保護できます。
過去数か月間、スマートフォンのセキュリティ問題に関して、Nexus Android トロイの木馬が暗号通貨ウォレットに侵入していることに関する記事も用意しました。こちらもチェックすることをお勧めします。
