LES SMARTPHONES ANDROID SONT VULNÉRABLES AUX FAILLES DU SYSTÈME DE SÉCURITÉ PAR EMPREINTES DIGITALES

Posté le mai 21, 2023 à 7:43

LES SMARTPHONES ANDROID SONT VULNÉRABLES AUX FAILLES DU SYSTÈME DE SÉCURITÉ PAR EMPREINTES DIGITALES

Des chercheurs de Tencent Labs et de l’université de Zhejiang ont créé une nouvelle attaque connue sous le nom de « BrutePrint ». L’attaque par force brute cible les empreintes digitales des smartphones modernes dans le but de contourner l’authentification de l’utilisateur et de prendre le contrôle d’un appareil.

Les smartphones Android sont vulnérables aux attaques par force brute des empreintes digitales

Des chercheurs Chinois ont réussi à déjouer les systèmes de sécurité en place sur les smartphones, notamment la limite de tentatives et la détection de l’existence, qui empêchent généralement les attaques par force brute. Pour ce faire, ils ont exploité deux vulnérabilités zero day connues sous le nom de Cancel-After-Match-Fail (CAMF) et Match-After-Lock (MAL).

Le document technique détaillant les vulnérabilités a été publié par Arxiv.org et a détecté que les données biométriques sur l’interface périphérique série (SPI) n’étaient pas protégées de la bonne manière. Elle a également permis une attaque de type « man-in-the-middle » (MITM) pour accéder aux images d’empreintes digitales.

Les attaques MITM BrutePrint et SPI ont été testées sur dix des modèles les plus populaires et ont permis de réaliser un nombre illimité de tentatives sur les appareils Android et HarmonyOS (Huawei). Dix tentatives supplémentaires ont par ailleurs été effectuées sur les appareils iOS.

L’idée de BrutePrint est de soumettre un nombre illimité d’images d’empreintes digitales sur l’appareil cible jusqu’à ce que l’empreinte digitale définie par l’utilisateur corresponde. L’attaquant doit aussi avoir un accès physique à l’appareil cible pour lancer une attaque BrutePrint et accéder à une base de données d’empreintes digitales qui peut être constituée d’ensembles de données universitaires ou de fuites de données biométriques.

BrutePrint existe entre le capteur d’empreintes digitales et l’environnement d’exécution de confiance. Elle exploite également la vulnérabilité CAMF pour manipuler les techniques d’échantillonnage multiple et d’annulation des erreurs qui existent dans la mesure de sécurité des empreintes digitales utilisée par les smartphones.

Le CMF déploie en outre une erreur de somme de contrôle sur les données de l’empreinte digitale afin d’interrompre le processus d’authentification avant qu’il n’arrive à son terme. Le hacker peut alors essayer plusieurs empreintes digitales sur les appareils cibles sans que le système n’enregistre les tentatives infructueuses. Le hacker peut ainsi faire autant d’essais qu’il le souhaite.

L’attaque BrutePrint s’accompagne aussi d’un système de « transfert de style neuronal » qui transforme les images d’empreintes digitales dans la base de données pour donner l’impression que le capteur de l’appareil cible les a scannées. Cette fonction permet aux images de paraître authentiques, ce qui augmente les chances de réussite.

Des chercheurs testent des appareils

Des chercheurs en cybersécurité ont effectué des tests sur dix appareils Android et iOS et ont découvert qu’ils présentaient au moins une vulnérabilité. Les appareils Android testés prennent également en charge de nombreuses tentatives d’empreintes digitales, ce qui permet de d’utiliser la méthode par force brute pour casser le système d’empreinte digitale et de déverrouiller l’appareil lorsque l’on dispose de suffisamment de temps.

Sur les appareils iOS, la méthode d’authentification utilisée est plus robuste et permet d’éviter les attaques par force brute. Les chercheurs ont aussi indiqué que l’iPhone 7 et l’iPhone SE sont vulnérables au CAMF. Cependant, les hackers ne peuvent augmenter les montants d’essai que jusqu’à 15, ce qui n’est pas suffisant pour effectuer une attaque par force brute sur le système d’empreinte digitale de l’appareil de l’utilisateur.

Les chercheurs ont également indiqué que l’iPhone chiffre les données d’empreintes digitales dans le SPI, de sorte que l’interception ne peut pas avoir beaucoup de valeur. Les expériences menées à ce sujet indiquent par ailleurs qu’il faut entre 2,9 et 13,9 heures pour réaliser un BrutePrint.

Summary
LES SMARTPHONES ANDROID SONT VULNÉRABLES AUX FAILLES DU SYSTÈME DE SÉCURITÉ PAR EMPREINTES DIGITALES
Article Name
LES SMARTPHONES ANDROID SONT VULNÉRABLES AUX FAILLES DU SYSTÈME DE SÉCURITÉ PAR EMPREINTES DIGITALES
Description
Des chercheurs de Tencent Labs et de l'université de Zhejiang ont créé une nouvelle attaque connue sous le nom de "BrutePrint".
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Koddos

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

Articles Populaires

Août 30, 2023
MENACE DE VOL DE DONNÉES : LE RANSOMWARE RHYSIDA CIBLE PROSPECT MEDICAL HOLDINGS
Août 29, 2023
DES ROUTEURS COMPROMIS ONT PERMIS À DES CRIMINELS EN LIGNE DE CIBLER LE SITE CONTRACTUEL DU PENTAGONE
Août 28, 2023
1,2 MILLION DE CLIENTS DE MOM’S MEALS ONT ÉTÉ TOUCHÉS PAR LA RÉCENTE VIOLATION DE DONNÉES
Août 23, 2023
DES ESPIONS ET DES HACKERS ÉTRANGERS CIBLENT L’INDUSTRIE SPATIALE AMÉRICAINE
Août 23, 2023
LES DÉVELOPPEURS DE TERRA FERMENT LEUR SITE WEB À LA SUITE D’UNE CAMPAGNE D’HAMEÇONNAGE

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture