Forscher von Tencent und der Zhejiang-Universität haben herausgefunden, dass einige Android-Telefone mithilfe gefälschter Fingerabdrücke entsperrt werden können. Die Schwachstellen, die im Fingerabdruck-Authentifizierungs-Framework fast aller Smartphones bestehen, können ausgenutzt werden, um Zugriff auf Android-Handys zu erhalten. Der Angriff mit dem Namen „BrutePrint“ erfordert eine 15-Dollar-Platine und das Smartphone des Opfers für mindestens 45 Minuten. Mit der Methode konnten die Forscher acht Android-Telefone und zwei iPhones entsperren.
So funktioniert BrutePrint
BrutePrint ist ein zweistufiger Prozess, der eine Datenbank mit Fingerabdrücken und eine 15-Dollar-Platine mit Mikrocontroller, Analogschalter, SD-Flash-Karte und Platine-zu-Platine-Anschluss erfordert. So funktioniert das:
- Der Angreifer muss eine Datenbank mit Fingerabdrücken beschaffen und denjenigen identifizieren, der mit dem Telefon des Opfers übereinstimmt.
- Der Angreifer muss dann die hintere Abdeckung des Telefons entfernen, um die 15-Dollar-Platine anzubringen und den Angriff auszuführen. Die Platine simuliert den Fingerabdrucksensor und probiert verschiedene Eingaben aus, bis sie ein Bild findet, das dem in der Fingerabdruckdatenbank gespeicherten Bild sehr ähnlich ist.
Sobald das Telefon entsperrt ist, können damit auch Zahlungen autorisiert werden.
Welche Telefone sind anfällig?
Die Forscher testeten acht Android-Telefone und zwei iPhones. Die getesteten Android-Telefone waren Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G und Huawei P40. Bei den getesteten iPhones handelte es sich um das iPhone SE und das iPhone 7. Mit der Methode konnten die Forscher alle acht Android-Telefone entsperren.
Warum das iPhone sicher ist
Laut den Forschern ist das iPhone sicher, weil iOS Daten verschlüsselt. Bei der Smartphone-Fingerabdruckauthentifizierung wird eine serielle Peripherieschnittstelle verwendet, um einen Sensor und den Smartphone-Chip zu verbinden. Da Android keine Daten verschlüsselt, kann BrutePrint problemlos auf Zielgeräten gespeicherte Bilder stehlen. Laut Security Boulevard müssen sich Besitzer neuer Android-Telefone jedoch keine Sorgen machen, da der Angriff auf Telefonen, die den neuesten Standards von Google entsprechen, wahrscheinlich nicht funktionieren wird.
Zusammenfassend lässt sich sagen, dass die von Forschern der Tencent- und Zhejiang-Universität entdeckten Schwachstellen die Notwendigkeit stärkerer Sicherheitsmaßnahmen zum Schutz personenbezogener Daten verdeutlichen. Da die Technologie immer weiter voranschreitet, ist es für Hersteller wichtig, potenziellen Bedrohungen und Schwachstellen immer einen Schritt voraus zu sein.
