Een van de meest gebruikte en betrouwbaarste beveiligingsmaatregelen voor smartphones is het ontgrendelen met een vingerafdruk. Deze beveiligingsmaatregel kan echter worden bedreigd door BrutePrint, een techniek waarmee apparaten, vooral die met een Android besturingssysteem, kunnen worden geforceerd om door dit systeem te worden beveiligd.
Vingerafdrukken zijn een vrijwel uniek kenmerk van elke persoon en een fysieke factor die in de loop der tijd niet verandert. Dit maakt het mogelijk om ze te gebruiken als een precieze identificatiemethode gekoppeld aan elke persoon en is daarom een veilige en betrouwbare barrière geworden voor verschillende doeleinden, waaronder het ontgrendelen van beveiligingsfuncties op smartphones en andere apparaten.
Als gevolg hiervan is biometrische identificatie via vingerafdrukherkenning een veelgebruikt systeem in elk slim mobiel apparaat als belangrijkste toegangsbarrière, waardoor het een interessant doelwit is geworden voor cybercriminelen, die deze beveiligingsmaatregel meestal proberen te omzeilen om toegang te krijgen tot het systeem en kwaadaardige acties uit te voeren.
Sommige pogingen om de vingerafdruksensor te vervalsen zijn gebaseerd op het fysiek nabootsen van de vinger van de eigenaar van de telefoon. Een team hackers van de Chaos Computer Club (CCC) slaagde er bijvoorbeeld in om deze technologie te omzeilen door de vingerafdruk op een glazen oppervlak te fotograferen en een mal te maken om het systeem voor de gek te houden.
Deze methoden zijn echter niet helemaal effectief omdat er fysieke metingen voor nodig zijn en ze vaak erg complex zijn. Dit is te zien in het bovengenoemde geval, waar een hoogwaardige afbeelding van de vinger moet worden gemaakt.
Dit geldt niet voor BrutePrint, een techniek die vorig jaar werd ontdekt door onderzoekers van het technologiebedrijf Tencent, Yu Chen en Yiling He van de Zhejiang Universiteit (China). Zij hebben een methode ontwikkeld waarmee ze in bijna elke smartphone met vingerafdrukbeveiliging kunnen inbreken.
BrutePrint is in staat om de authenticatievingerafdruk die wordt gebruikt om het scherm van het apparaat te ontgrendelen in slechts 45 minuten te ontsleutelen en ook andere gevoelige handelingen uit te voeren.
Zoals experts van cyberbeveiligingsbedrijven zoals Kaspersky en Panda Security hebben ontdekt, is het systeem gebaseerd op een brute force aanval waarbij een groot aantal vingerafdrukken wordt getest totdat er één wordt gevonden die goed genoeg overeenkomt om het apparaat te ontgrendelen.
De reden hiervoor is dat de sensoren in smartphones niet helemaal accuraat zijn. Volgens Kaspersky hangt dit af van factoren zoals het type sensor, de grootte, de resolutie en andere aspecten zoals beeldvergelijking en algoritmen voor nabewerking.
Aan de andere kant maakt deze aanval gebruik van kwetsbaarheden in het vingerafdrukauthenticatiesysteem van het apparaat in kwestie. Hiertoe zochten de onderzoekers naar kwetsbaarheden in de implementatie van de vingerafdruksensor in Android smartphones en ontdekten dat geen van de geteste modellen het communicatiekanaal tussen de sensor en het systeem versleutelde.
Al met al kan deze BrutePrint-techniek een onbeperkt aantal vingerafdrukken verifiëren en kan het tussen de 40 minuten en 14 uur duren om te ontgrendelen, afhankelijk van de vingerafdrukken die zijn opgeslagen op het apparaat in kwestie voor verificatie.
Bovendien vereist deze technologie niet zoveel precisie als wachtwoordverificatie. Bij een wachtwoord moet de invoer exact overeenkomen met de gegevens die in het systeem zijn opgeslagen. Bij vingerafdrukauthenticatie is echter een kleine marge toegestaan.
BrutePrint buit dit ook uit door de valse acceptatiegraad (FAR) te manipuleren om de foutmarge te vergroten. Om dit systeem te laten werken, is het dus voldoende dat het ingevoerde vingerafdrukbeeld een benadering is van de originele vingerafdruk.
De tests van dit systeem werden uitgevoerd met tien populaire Android, HarmonyOS en iOS smartphone modellen. Het resultaat: alle modellen werden minstens één keer gekraakt met BrutePrint. Android-toestellen hadden echter meer kans om te bezwijken voor deze aanval.
Om de aanval uit te voeren, moet je fysieke toegang hebben tot het apparaat in kwestie. Om deze techniek uit te voeren, moet je de achterkant van de smartphone verwijderen en een printplaat aansluiten. Deze printplaat bevat een database met vingerafdrukken die worden gebruikt om het systeem te authenticeren.
Zodra de printplaat is aangesloten, moet de database worden omgezet in een geformatteerd vingerafdrukwoordenboek zodat het werkt met de specifieke vingerafdruksensor van de te manipuleren telefoon.
Vervolgens wordt geprobeerd het systeem te ontgrendelen met de vingerafdrukken in de database en wordt de valse acceptatiegraad verhoogd om zoveel mogelijk vingerafdrukken te proberen om toegang te krijgen.
Om de FAR op Android-toestellen te veranderen, kan BrutePrint een controlesomfout in de vingerafdrukgegevens invoegen zodat het beveiligingssysteem de mislukte pogingen niet registreert en de pogingen oneindig zijn.
Het Touch ID-systeem op iPhone-apparaten was echter beter bestand tegen BrutePrint-aanvallen. De onderzoekers legden uit dat dit komt doordat Apple de communicatie tussen de vingerafdruksensor en de rest van het systeem versleutelt. Daarom is het moeilijker om vingerafdrukken te onderscheppen en te testen in een poging om in te breken in het ontgrendelingssysteem.
Het onderzoek geeft echter aan dat iPhones vatbaarder zijn voor manipulatie met de False Acceptance Rate (FAR), omdat het gemakkelijker was om het aantal mogelijke pogingen tot vingerafdrukherkenning te verhogen. Opgemerkt moet worden dat het aantal pogingen op Android onbeperkt is, terwijl het op iOS alleen mogelijk was om het aantal pogingen te verhogen van 5 tot 15.
Bron: Agentschappen
