Forscher warnen, dass gefälschte Fingerabdrücke einige Android-Telefone entsperren können
Eine Gruppe von Forschern von Tencent und der Zhejiang-Universität hat herausgefunden, dass gefälschte Fingerabdrücke zum Entsperren einiger Android-Telefone verwendet werden können. Die Schwachstelle ist im Fingerabdruck-Authentifizierungs-Framework fast aller Smartphones vorhanden und kann ausgenutzt werden, um sich unbefugten Zugriff auf Android-Handys zu verschaffen.
BrutePrint-Angriffstechnik
Die Angriffstechnik namens BrutePrint erfordert eine 15-Dollar-Platine mit einem Mikrocontroller, einem Analogschalter, einer SD-Flash-Karte und einem Board-to-Board-Anschluss. Der Angreifer muss außerdem mindestens 45 Minuten lang im Besitz des Smartphones des Opfers und einer Datenbank mit Fingerabdrücken sein.
Die Forscher testeten acht Android-Telefone und zwei iPhones und stellten fest, dass BrutePrint die begrenzte Anzahl von Fingerabdruckversuchen umgehen kann, die Smartphones zulassen. Der Fingerabdruck-Authentifizierungsprozess erfordert keine direkte Übereinstimmung zwischen den eingegebenen Werten und dem Datenbankwert. Es verwendet einen Referenzschwellenwert, um eine Übereinstimmung zu ermitteln, die ausgenutzt werden kann, indem verschiedene Eingaben ausprobiert werden, bis ein sehr ähnliches Bild gefunden wird.
Der gesamte Vorgang kann zwischen 40 Minuten und 14 Stunden dauern, abhängig von Faktoren wie dem Fingerabdruck-Authentifizierungsrahmen eines bestimmten Modells und der Anzahl der zur Authentifizierung gespeicherten Fingerabdrücke.
Das iPhone ist sicher
Die Forscher fanden heraus, dass das iPhone sicher ist, weil iOS Daten verschlüsselt. Android hingegen verschlüsselt Daten nicht, was es BrutePrint erleichtert, auf Zielgeräten gespeicherte Bilder zu stehlen. Besitzer neuer Android-Telefone müssen sich jedoch keine Sorgen machen, da der Angriff auf Telefonen, die den neuesten Standards von Google entsprechen, wahrscheinlich nicht funktioniert.
Empfehlungen zur Abwehr von Angriffen
Die Forscher haben mehrere Änderungen empfohlen, um diese Angriffe zu verhindern, z. B. die Beseitigung versuchsbegrenzender Umgehungen und die Verschlüsselung der zwischen dem Fingerabdruckleser und dem Chipsatz gesendeten Daten.
Zusammenfassend unterstreicht diese Entdeckung, wie wichtig es ist, Smartphones regelmäßig zu aktualisieren und zu sichern, um unbefugten Zugriff zu verhindern. Auch bei der Weitergabe persönlicher Daten gilt es, vorsichtig zu sein und zum Schutz sensibler Daten zusätzliche Sicherheitsfunktionen wie die Zwei-Faktor-Authentifizierung zu nutzen.
Hauptstichwort: Durch gefälschte Fingerabdrücke gehackte Android-Telefone
LSI-Schlüsselwort: BrutePrint-Angriffstechnik, Fingerabdruck-Authentifizierung, unbefugter Zugriff, Sicherheitsfunktionen, Zwei-Faktor-Authentifizierung.
