Chinesische Forscher sagen, dass Android-Fingerabdrucksperren durch Brute-Force-Angriffe umgangen werden können

In einer überraschenden Entdeckung haben Forscher von Tencent Labs und der Zhejiang-Universität eine Möglichkeit gefunden, Fingerabdrucksperren auf Android-Smartphones mithilfe eines Brute-Force-Angriffs zu umgehen. Das bedeutet, dass bei Verlust oder Diebstahl eines Android-Telefons problemlos auf dessen sensible Daten zugegriffen werden kann, selbst wenn es per Fingerabdruck gesperrt wurde.

Wie Brute-Force-Angriffe funktionieren

Von einem Brute-Force-Angriff spricht man, wenn eine große Anzahl von Versuchen unternommen wird, ein Passwort, einen Code oder eine andere Form des Sicherheitsschutzes zu entdecken. Zum Schutz vor Brute-Force-Angriffen verfügen Android-Telefone in der Regel über Sicherheitsvorkehrungen wie die Begrenzung der Anzahl der Versuche, die ein Benutzer durchführen kann, sowie über eine Lebenderkennung. Die Forscher konnten diese Sicherheitsvorkehrungen jedoch umgehen, indem sie zwei Zero-Day-Schwachstellen namens „Cancel-After-Match-Fail“ (CAMF) und „Match-After-Lock“ (MAL) nutzten.

Schwachstellen im biometrischen Datenschutz

Es wurde außerdem festgestellt, dass biometrische Daten auf der Serial Peripheral Interface (SPI) der Fingerabdrucksensoren nicht umfassend geschützt waren, sodass ein Man-in-the-Middle-Angriff (MITM) die Fingerabdrücke stehlen konnte.

Testen des Brute-Force-Angriffs

Die Forscher testeten den Brute-Force-Angriff namens BrutePrint an zehn beliebten Smartphone-Modellen. Sie konnten eine unbegrenzte Anzahl von Anmeldeversuchen per Fingerabdruck auf den Android- und HarmonyOS-Telefonen (Huawei) durchführen. iOS-Geräte schnitten jedoch viel besser ab und erlaubten auf dem iPhone SE und iPhone 7 nur zehn zusätzliche Versuche, sodass sich die Gesamtzahl auf 15 erhöhte, was für einen Brute-Force-Angriff nicht ausreicht.

Erforderliche Zeit für einen Brute-Force-Angriff

Laut Analyse könnte BrutePrint innerhalb von 2,9 bis 13,9 Stunden in ein Gerät eindringen, auf dem nur ein Fingerabdruck eingerichtet ist. Diejenigen mit mehr als einem Fingerabdruck sind einfacher, da der Angreifer eine höhere Chance hat, eine Übereinstimmung zu finden, sodass die Zeit bis zum Erfolg auf 0,66 bis 2,78 Stunden sinkt.

Schwierigkeit des Angriffs

Die gute Nachricht ist, dass dies nicht der einfachste Angriff ist. Jemand bräuchte nicht nur physischen Zugang zu einem Zieltelefon und etwas Zeit, sondern auch Zugriff auf eine Fingerabdruckdatenbank aus biometrischen Datenlecks oder akademischen Datensätzen. Es ist auch etwas Hardware erforderlich, die jedoch nur etwa 15 US-Dollar kostet. Allerdings könnte die Technik bei Strafverfolgungsbehörden und staatlich geförderten Akteuren Anwendung finden.

Diese Entdeckung ist eine Erinnerung daran, dass selbst die fortschrittlichsten Sicherheitsmaßnahmen nicht narrensicher sind. Android-Nutzer sollten vorsichtig sein und zusätzliche Sicherheitsmaßnahmen zum Schutz ihrer Daten in Betracht ziehen.

• Hauptschlüsselwort: Android-Fingerabdruckschlösser
• LSI-Schlüsselwort: Brute-Force-Angriff