機(jī)器之心報(bào)道

(資料圖片)

編輯：澤南

無(wú)需任何前提，最快 40 分鐘破解。

在智能手機(jī)上，我們?cè)缫蚜?xí)慣了指紋解鎖，它可以省去輸入密碼的時(shí)間，看起來(lái)也更加安全，刷指紋是很多支付認(rèn)證支持的方式。

然而最近的研究表明，指紋解鎖并沒(méi)有你想的那么安全，破解它的方式甚至還包括「最原始」的暴力破解。上個(gè)星期，騰訊安全玄武實(shí)驗(yàn)室和浙江大學(xué)的研究人員提出了一種名為「BrutePrint」的攻擊方式，該攻擊通過(guò)暴力破解現(xiàn)代智能手機(jī)上的指紋來(lái)繞過(guò)用戶身份驗(yàn)證并控制設(shè)備。

以前，暴力攻擊通常是指破解代碼、密鑰獲得對(duì)帳戶、系統(tǒng)或網(wǎng)絡(luò)的未授權(quán)訪問(wèn)的多次反復(fù)試驗(yàn)。但在 BrutePrint 的新論文中，研究人員設(shè)法找到了利用兩個(gè)零日漏洞，即 Cancel-After-Match-Fail（CAMF）和 Match-After-Lock（MAL）的方法。

論文鏈接：https://arxiv.org/abs/2305.10791

此外，研究人員還發(fā)現(xiàn)，指紋傳感器的串行外設(shè)接口（SPI）上的生物識(shí)別數(shù)據(jù)沒(méi)有得到充分保護(hù)，可以讓中間人 ( MITM ) 攻擊劫持指紋圖像。

研究團(tuán)隊(duì)嘗試用 BrutePrint 和 SPI MITM 對(duì)十種流行的智能手機(jī)型號(hào)進(jìn)行攻擊，在所有安卓和 HarmonyOS 設(shè)備上實(shí)現(xiàn)了無(wú)限次嘗試，而在 iOS 設(shè)備上實(shí)現(xiàn)了十次額外嘗試。

BrutePrint 工作原理

BrutePrint 的思路是向目標(biāo)設(shè)備輸出無(wú)限次指紋圖像提交，直到匹配到用戶定義的指紋。

攻擊者需要對(duì)目標(biāo)設(shè)備進(jìn)行物理訪問(wèn)以發(fā)起 BrutePrint 攻擊，輸入內(nèi)容可以包括學(xué)術(shù)數(shù)據(jù)集或生物識(shí)別數(shù)據(jù)泄漏中獲取的指紋數(shù)據(jù)庫(kù)。當(dāng)然，這種攻擊也有必要的硬件設(shè)備，成本約為 15 美元。

與密碼破解的工作方式不同的是，指紋匹配時(shí)參考的是閾值而不是特定數(shù)值，因此攻擊者可以操縱錯(cuò)誤接受率（FAR）來(lái)提高接受閾值并創(chuàng)建匹配。

BrutePrint 介于指紋傳感器和可信執(zhí)行環(huán)境（TEE ) 之間，利用 CAMF 漏洞來(lái)操縱智能手機(jī)指紋認(rèn)證的多重采樣和錯(cuò)誤消除機(jī)制。因此不論是光學(xué)還是超聲波指紋，在破解上都沒(méi)有區(qū)別。

CAMF 在指紋數(shù)據(jù)中注入校驗(yàn)和錯(cuò)誤，以在手機(jī)安全機(jī)制阻止之前停止身份驗(yàn)證過(guò)程。這允許攻擊者在目標(biāo)設(shè)備上多次嘗試刷指紋，而手機(jī)保護(hù)系統(tǒng)不會(huì)記錄失敗的嘗試，因此可以做到無(wú)限次嘗試。

另一方面，MAL 漏洞使攻擊者能夠推斷他們?cè)谀繕?biāo)設(shè)備上嘗試的指紋圖像的身份驗(yàn)證結(jié)果，即使后者處于「鎖定模式」。

鎖定模式是在一定次數(shù)的連續(xù)解鎖嘗試失敗后激活的保護(hù)系統(tǒng)。在鎖定「超時(shí)」期間，設(shè)備不應(yīng)接受解鎖嘗試，但 MAL 有助于繞過(guò)此限制。

BrutePrint 攻擊的最后一個(gè)組成部分是使用「神經(jīng)風(fēng)格遷移」系統(tǒng)，訓(xùn)練一個(gè) AI 模型（CycleGAN 將數(shù)據(jù)庫(kù)中的所有指紋圖像轉(zhuǎn)換為看起來(lái)像是目標(biāo)設(shè)備的傳感器掃描的版本。這使用于攻擊的圖像效果更好，獲得了更高的成功機(jī)會(huì)。

安卓全軍覆沒(méi)，iPhone 堅(jiān)挺

研究人員在 10 臺(tái)安卓和 iOS 設(shè)備上進(jìn)行了實(shí)驗(yàn)，發(fā)現(xiàn)所有設(shè)備都至少存在一個(gè)漏洞。

經(jīng)過(guò)測(cè)試的安卓設(shè)備允許無(wú)限次指紋嘗試，因此只要有足夠的時(shí)間，暴力破解用戶的指紋并解鎖設(shè)備幾乎都是可能的。

相對(duì)的，在 iOS 設(shè)備上，身份驗(yàn)證安全性要強(qiáng)大得多，可以有效防止暴力破解攻擊。

雖然研究人員發(fā)現(xiàn) iPhone SE 和 iPhone 7 易受到 CAMF 的影響，但它們只能將指紋試用次數(shù)增加到 15 次，這遠(yuǎn)不足以暴力破解機(jī)主的指紋。

對(duì)于涉及劫持用戶指紋圖像的 SPI MITM 攻擊，所有測(cè)試的安卓設(shè)備均易受攻擊，而 iPhone 再次可以擋住。

研究人員解釋說(shuō)，這是因?yàn)?iPhone 對(duì) SPI 上的指紋數(shù)據(jù)進(jìn)行了加密，因此在攻擊的背景下，任何攔截都沒(méi)有什么價(jià)值。

實(shí)驗(yàn)表明，當(dāng)用戶只注冊(cè)了一個(gè)指紋時(shí)，針對(duì)易受攻擊的設(shè)備成功完成 BrutePrint 所需的時(shí)間在 2.9 到 13.9 小時(shí)之間。而當(dāng)在目標(biāo)設(shè)備上注冊(cè)多個(gè)指紋時(shí)，暴力破解時(shí)間會(huì)下降到僅 0.66 到 2.78 小時(shí)，因?yàn)樯善ヅ鋱D像的可能性呈指數(shù)級(jí)增長(zhǎng)。

結(jié)語(yǔ)

由于需要長(zhǎng)時(shí)間訪問(wèn)目標(biāo)設(shè)備，BrutePrint 似乎不是一種可怕的攻擊。然而如果手機(jī)被盜，犯罪分子可能會(huì)利用這種機(jī)制解鎖設(shè)備并提取有價(jià)值的私人數(shù)據(jù)。

此外，該攻擊方法也可應(yīng)用于其他生物識(shí)別系統(tǒng)。目前，研究人員表示希望能夠通過(guò)與手機(jī)廠商、指紋傳感器供應(yīng)商合作共同減少此類威脅。

參考鏈接：

https://www.bleepingcomputer.com/news/security/android-phones-are-vulnerable-to-fingerprint-brute-force-attacks/

THE END

轉(zhuǎn)載請(qǐng)聯(lián)系本公眾號(hào)獲得授權(quán)

投稿或?qū)で髨?bào)道：content@jiqizhixin.com