BrutePrint: bypassare la protezione delle impronte digitali dello smartphone

La protezione delle impronte digitali Android non è poi così affidabile: può essere forzata anche senza una copia dell’impronta digitale.

Si ritiene che il riconoscimento delle impronte digitali sia un metodo di autenticazione abbastanza sicuro. Pubblicazioni su diversi modi per ingannare il sensore di impronte digitali compaiono di tanto in tanto, ma tutti i metodi suggeriti in un modo o nell’altro si riducono all’imitazione fisica del dito del proprietario del telefono, sia che si utilizzi un cuscinetto in silicone o una stampa con inchiostro conduttivo . Ciò comporta l’ottenimento di un’immagine di alta qualità di un dito – e non un dito qualsiasi, attenzione, ma quello registrato nel sistema.

In poche parole, tutti questi metodi comportano molti problemi nel mondo reale. Ma è possibile farlo in qualche modo in modo più elegante, senza abbandonare il mondo puramente digitale e tutti i suoi vantaggi? Si scopre che lo è: i ricercatori cinesi Yu Chen e Yiling Ha recentemente pubblicato uno studio su come applicare la forza bruta a quasi tutti gli smartphone Android protetti da impronte digitali. Hanno chiamato l’attacco BrutePrint .

Quanto sono uniche le impronte digitali?

Prima di esaminare brevemente il lavoro dei nostri compagni cinesi, qualche teoria di base… Tanto per cominciare, e forse lo saprai, ma le impronte digitali sono davvero uniche e non cambiano mai con l’età.

Ora, nel lontano 1892, lo scienziato inglese Sir Francis Galton pubblicò un’opera laconicamente intitolata Finger Prints . In esso, ha riassunto i dati scientifici allora attuali sulle impronte digitali e il lavoro di Galton ha gettato le basi teoriche per un ulteriore uso pratico delle impronte digitali in medicina legale.

Tra le altre cose, Sir Francis Galton ha calcolato che la probabilità di corrispondenza delle impronte digitali era “inferiore a 2 ³⁶ , ovvero uno a circa sessantaquattromila milioni”. Gli esperti forensi si attengono a questo valore fino ad oggi.

A proposito, se siete appassionati di anatomia o dei fattori biologici dietro l’unicità delle impronte digitali, ecco un nuovo documento di ricerca sull’argomento.

Quanto sono affidabili i sensori di impronte digitali?

Il lavoro di Sir Francis e tutto ciò che ne è derivato, tuttavia, si riferisce al (caldo) mondo analogico, coprendo cose come il rilevamento delle impronte digitali, abbinandole a quelle lasciate, diciamo, sulla scena del crimine, e Bob è tuo zio. Ma le cose sono un po’ diverse nella (fredda) realtà digitale. La qualità della rappresentazione dell’impronta digitale dipende da molteplici fattori: il tipo di sensore, le sue dimensioni e risoluzione e, in misura non trascurabile, gli algoritmi di post-elaborazione e corrispondenza delle “immagini”.

E, naturalmente, lo sviluppatore deve rendere il dispositivo a buon mercato (o nessuno lo comprerà), ottenere un’autenticazione in una frazione di secondo (o essere sopraffatto dalle lamentele sulla bassa velocità) ed evitare falsi negativi a tutti i costi (o il l’utente scarterà del tutto l’intera operazione). Il risultato sono sistemi di autenticazione non molto accurati.

Quindi, quando si fa riferimento ai sensori utilizzati negli smartphone, vengono citate cifre molto meno ottimistiche per la probabilità di corrispondenza del frammento di impronte digitali rispetto al famoso 1 a 64 miliardi. Ad esempio, Apple stima la probabilità di Touch ID da 1 a 50.000. Quindi si può presumere che per i modelli di sensori economici la probabilità si ridurrà ulteriormente di un ordine o due.

Questo ci porta da miliardi a migliaia. Che è già a portata di forza bruta . Quindi, il potenziale hacker è solo a un ostacolo dal premio: il limite al numero di tentativi di riconoscimento delle impronte digitali. Normalmente ne sono consentiti solo cinque, seguiti da un prolungato periodo di blocco dell’autenticazione tramite impronta digitale.

Questo ostacolo può essere superato? Yu Chen e Yiling He danno una risposta affermativa nel loro studio.

BrutePrint: preparazione per la forza bruta sugli smartphone Android protetti da impronte digitali

Il metodo del ricercatore si basa su un difetto nell’implementazione del sensore di impronte digitali generico degli smartphone Android: nessuno dei modelli testati ha crittografato il canale di comunicazione tra il sensore e il sistema. Questo apre l’opportunità per un attacco MITM al sistema di autenticazione: con un dispositivo connesso allo smartphone tramite la porta SPI della scheda madre, si possono sia intercettare i messaggi in arrivo dal sensore di impronte digitali, sia inviare i propri messaggi emulando il sensore di impronte digitali.

I ricercatori hanno costruito un tale dispositivo (pseudo-sensore) e lo hanno integrato con un gadget per il clic automatico sullo schermo del sensore dello smartphone. Pertanto, la parte del componente hardware è stata configurata per inviare più immagini di impronte digitali agli smartphone in modalità automatica.

Da lì, hanno proceduto alla preparazione di campioni di impronte digitali per la forza bruta. I ricercatori non rivelano la fonte del loro database di impronte digitali, limitandosi a speculazioni generali su come gli aggressori potrebbero ottenerlo (raccolte di ricerche, dati trapelati, database proprio).

Come passaggio successivo, il database delle impronte digitali è stato inviato a un’intelligenza artificiale per generare qualcosa come un dizionario di impronte digitali per massimizzare le prestazioni di forzatura bruta. Le immagini delle impronte digitali sono state adattate dall’intelligenza artificiale per corrispondere a quelle generate dai sensori installati sugli smartphone che partecipano allo studio.

Le due vulnerabilità alla base di BrutePrint: Cancel-After-Match-Fail e Match-After-Lock

L’attacco BrutePrint sfrutta due vulnerabilità. I ricercatori li hanno scoperti nella logica di base del framework di autenticazione delle impronte digitali che, a quanto pare, viene fornito con tutti gli smartphone Android senza eccezioni. Le vulnerabilità sono state chiamate Cancel-After-Match-Fail e Match-After-Lock.

La vulnerabilità Cancel-After-Match-Fail

Cancel-After-Match-Fail (CAMF) sfrutta due importanti caratteristiche del meccanismo di autenticazione delle impronte digitali. Il primo è il fatto che si basa sul multisampling, il che significa che ogni tentativo di autenticazione utilizza non solo una, ma una serie di due o quattro immagini di impronte digitali (a seconda del modello di smartphone). Il secondo è il fatto che, oltre a fail , un tentativo di autenticazione può anche portare a un errore e, in questo caso, c’è un ritorno all’inizio.

Ciò consente di inviare una serie di immagini che terminano con un frame pre-modificato per attivare un errore. Pertanto, se una delle immagini della serie attiva una corrispondenza, avrà luogo un’autenticazione riuscita. In caso contrario, il ciclo terminerà con un errore, dopodiché sarà possibile inviare una nuova serie di immagini senza sprecare il prezioso tentativo.

La vulnerabilità Match-After-Lock

La seconda vulnerabilità è Match-After-Lock (MAL) . La logica di autenticazione tramite impronta digitale prevede un periodo di blocco a seguito di un tentativo fallito, ma molti venditori di smartphone non riescono ad implementare correttamente questa funzionalità nelle loro versioni di Android. Quindi, anche se l’autenticazione dell’impronta digitale non è possibile in modalità di blocco, è comunque possibile inviare sempre più nuove immagini, alle quali il sistema risponderà comunque con una risposta onesta “vero” o “falso”. Cioè, una volta rilevata l’immagine corretta, è possibile utilizzarla non appena il sistema è fuori dal blocco, completando così un’autenticazione riuscita.

Attacchi che sfruttano Cancel-After-Match-Fail e Match-After-Lock

L’attacco che sfruttava la prima vulnerabilità ha avuto successo per tutti gli smartphone testati con Android originale a bordo, ma per qualche motivo non ha funzionato con HarmonyOS . Match-After-Lock è stato sfruttato sugli smartphone Vivo e Xiaomi, nonché su entrambi i telefoni Huawei con HarmonyOS.

Tutti gli smartphone Android e HarmonyOS partecipanti allo studio sono risultati vulnerabili ad almeno uno degli attacchi descritti. Ciò significa che tutti hanno consentito un numero indefinito di tentativi di autenticazione delle impronte digitali dannosi.

Secondo lo studio, ci sono volute dalle 2,9 alle 13,9 ore per hackerare un sistema di autenticazione per smartphone Android con una sola impronta digitale registrata. Ma per gli smartphone con il numero massimo possibile di impronte registrate per un dato modello (quattro per Samsung, cinque per tutti gli altri), il tempo si è notevolmente ridotto: hackerandoli ha impiegato da 0,66 a 2,78 ore.

E gli iPhone?

Il sistema Touch ID utilizzato negli iPhone si è rivelato più resistente a BrutePrint. Secondo lo studio, il vantaggio principale dell’iPhone è che la comunicazione tra il sensore di impronte digitali e il resto del sistema è crittografata. Quindi non c’è modo di intercettare o fornire al sistema un’impronta predisposta su un dispositivo dotato di Touch ID.

Lo studio sottolinea che gli iPhone possono essere parzialmente vulnerabili alle manipolazioni utilizzate per massimizzare il numero di possibili tentativi di riconoscimento delle impronte digitali. Tuttavia, non è così male come potrebbe sembrare: mentre gli smartphone Android consentono alla festa di durare all’infinito, negli iPhone il numero di tentativi può essere aumentato solo da 5 a 15.

Quindi gli utenti iOS possono dormire sonni tranquilli: Touch ID è molto più affidabile dell’autenticazione tramite impronta digitale utilizzata sia in Android che in HarmonyOS. Inoltre, al giorno d’oggi la maggior parte dei modelli di iPhone utilizza comunque Face ID.

Quanto è pericoloso tutto questo?

Anche i possessori di smartphone Android non dovrebbero preoccuparsi troppo di BrutePrint: in pratica l’attacco non rappresenta quasi una minaccia importante. Ci sono diverse ragioni per questo:

• BrutePrint richiede l’accesso fisico al dispositivo . Questo fattore da solo riduce la probabilità che qualcosa di simile accada a te con un grande margine.
• Inoltre, per sferrare l’attacco è necessario aprire il dispositivo e utilizzare un connettore specifico sulla scheda madre. Farlo all’insaputa del proprietario non è affatto facile.
• Anche nella migliore delle ipotesi, l’attacco richiederà un tempo considerevole , misurato in ore.
• E, naturalmente, BrutePrint richiede una configurazione particolare , sia hardware che software, che include attrezzature personalizzate, un database di impronte digitali e un’intelligenza artificiale addestrata.

Combinati, questi fattori rendono estremamente improbabile che un tale attacco possa essere utilizzato nella vita reale, a meno che alcune persone con una mentalità imprenditoriale non costruiscano un prodotto commerciale di facile utilizzo basato sullo studio.

Protezione degli smartphone Android dalla forzatura bruta delle impronte digitali

Se, nonostante quanto sopra, ritieni di poter essere vittima di un simile attacco, ecco alcuni suggerimenti su come proteggerti:

• Registra il minor numero possibile di impronte digitali (idealmente solo una). Maggiore è il numero di dita utilizzate per l’autenticazione, più vulnerabile diventa il sistema alla tattica descritta e ad altri attacchi .
• Non dimenticare di utilizzare un PIN aggiuntivo o una protezione con password per le app che dispongono di questa opzione.
• A proposito, la funzione AppLock disponibile nella versione a pagamento di Kaspersky per Android consente di utilizzare password separate per qualsiasi app.

Fonte : https://www.kaspersky.com/blog/fingerprint-brute-force-android/48303/