אתר הטכנולוגיה Bleeping computer דיווח כי חוקרים ממעבדות טנסנט ואוניברסיטת זג'יאנג הציגו מתקפה חדשה בשם 'BrutePrint', אשר כופה טביעות אצבע על סמארטפונים מדגם אנדרואיד, במטרה לעקוף את אימות המשתמש ולהשתלט על המכשיר.

מתקפות brute-force מסתמכות על ניסיונות חוזרים ורבים על מנת לפצח קוד, מפתח או סיסמה ולהשיג גישה לא מורשית לחשבונות, מערכות או רשתות. החוקרים הסינים הצליחו להתגבר על אמצעי הגנה קיימים על סמארטפונים, כמו הגבלה של כביכול ניסיונות והגנות מפני מתקפות brute-force, על ידי ניצול מה שלטענתם הוא שתי חולשות zero-day ("מתקפת אפס ימים") אותן הם כינו Cancel-After-Match-Fail (CAMF) וMatch-After-Lock (MAL).

מחברי המאמר הטכני שפורסם באתר Arxiv.org מצאו גם כי נתונים ביומטריים על חיישני טביעת האצבע (SPI) היו מוגנים בצורה לא מספקת, מה שמאפשר מתקפה של "אדם בתווך" (MITM) לחטיפת תמונות טביעות אצבע.

מתקפות מהסוג הזה נבדקו מול עשרה דגמי סמארטפונים פופולריים, והצליחו להשיג ניסיונות בלתי מוגבלים בכל מכשירי Android ו-HarmonyOS ועשרה ניסיונות נוספים במכשירי iOS.

עוד ב-

חובת קריאה: 10 דברים שחשוב לדעת לפני שתבחרו סיסמאות אבטחה

לכתבה המלאה

בחברת אבטחת המידע ESET מסבירים כי "ממצאים אלו נשמעים מדאיגים במבט ראשון. אולם במבט מעמיק יותר, ייתכן שהאיום לא יהיה משמעותי כפי שהוצע. בראש ובראשונה, הפגם הזה מתועד כעת בפומבי וניתן לתקן אותו. שנית, לתוקפים יש הרבה תנאים מוקדמים שצריך לעמוד בהם - חומרה ישנה, גרסאות אנדרואיד ישנות, אבל גם גישה פיזית למכשיר של הקורבן. יהיה בטוח לומר, שעבור המשתמשים הממוצעים, התקפות מסוג זה מהוות איום ברמה נמוכה. אם הפגמים האלה לא תוקנו כבר על ידי החומרה והתוכנה הנוכחיים, סביר להניח שהם יטופלו בעדכונים עתידיים".