{"id":4868,"date":"2023-05-31T00:49:16","date_gmt":"2023-05-30T22:49:16","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4868"},"modified":"2023-05-31T00:49:16","modified_gmt":"2023-05-30T22:49:16","slug":"bruteprint-otkljucava-pametne-telefone","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/05\/31\/bruteprint-otkljucava-pametne-telefone\/","title":{"rendered":"BrutePrint otklju\u010dava pametne telefone"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di sa Tencent Labs and Zhejiang<\/em> univerziteta su prikazali novi na\u010din napada<\/a> nazvan BrutePrint<\/em> koji nasilnim poga\u0111anjem otiska prsta na pametnim telefonima zaobilazi mehanizam za\u0161tite od neovla\u0161tene upotrebe ure\u0111aja i omogu\u0107ava kontrolu nad ure\u0111ajem.<\/span><\/p>\n

\"BrutePrint\"

Designed by pikisuperstar \/ Freepik<\/em><\/a><\/p><\/div>\n

BrutePrint<\/em> napad<\/strong><\/span><\/h2>\n

Napadi grubom silom (eng. brute force attack<\/em>) se zasnivaju na uzastopnim poku\u0161ajima da razbiju k\u00f4d ili lozinku kako bi se dobio neovla\u0161teni pristup korisni\u010dkim nalozima, sistemima ili mre\u017eama. Koriste\u0107i ovu tehniku napada, sigurnosni istra\u017eiva\u010di su uspjeli da zaobi\u0111u za\u0161titne mehanizme na pametnim telefonima kao \u0161to su ograni\u010davanje broja poku\u0161aja i otkrivanje napada grubom silom, tako \u0161to su iskoristili dvije ranjivosti: Cancel-After-Match-Fail<\/em> (CAMF<\/em>) i Match-After-Lock<\/em> (MAL<\/em>).<\/span><\/p>\n

Istra\u017eiva\u010di su objavili kako su do\u0161li do saznanja da je biometrijska za\u0161tita otiska prsta na Serial<\/em> Peripheral<\/em> Interface<\/em> (SPI<\/em>) senzoru neadekvatno postavljena, \u0161to omogu\u0107ava kori\u0161tenjem tehnike napada putem posredovanja (eng. man-in-the-middle \u2013 MITM<\/em>) preuzimanje slika otiska prsta.<\/span><\/p>\n

\"attack

BrutePrint attack diagram (arxiv.org)<\/em><\/p><\/div>\n

Funkcionisanje<\/strong><\/span><\/h3>\n

Ideja BrutePrint<\/em> napada se sastoji u tome da se izvr\u0161i neograni\u010den broj slanja slike otiska prsta na ciljni ure\u0111aj sve dok se korisni\u010dki definisani otisak prsta ne uskladi.<\/span><\/p>\n

Za ovaj napad, napada\u010du je potreban fizi\u010dki pristup ure\u0111aju da bi pokrenuo BrutePrint<\/em> napad, pristup bazi podataka sa otiscima prstiju koja se mo\u017ee dobiti iz akademskih skupova podataka ili curenja biometrijskih podataka, kao i neophodna oprema koja ko\u0161ta oko 15 ameri\u010dkih dolara.<\/span><\/p>\n

BrutePrint<\/em> napad iskori\u0161tava CAMF<\/em> gre\u0161ku, ubrizgavajuc\u0301i gre\u0161ku kontrolne sume u podatke o otisku prsta, \u0161to zaobilazi sisteme za\u0161tite i omogu\u0107ava napada\u010dima beskona\u010dne poku\u0161aje podudaranje otisaka prstiju na pametnim telefonima, a da ne budu otkriveni.<\/span><\/p>\n

Iskori\u0161tavanje MAL<\/em> ranjivosti omogu\u0107ava napada\u010dima da zaklju\u010de rezultate autentifikacije slika otiska prsta koje testiraju na ciljnom ure\u0111aju, \u010dak i kada je ure\u0111aj u stanju \u201ezaklju\u010danog re\u017eima<\/em>\u201c.<\/span><\/p>\n

BrutePrint<\/em> napad zaobilazi re\u017eim zaklju\u010davanja kori\u0161tenjem mehanizma zvanog MAL<\/em> i koristi sistem \u201eprenosa neuronskog stila<\/em>\u201c za modifikovanje slika otisaka prstiju u bazi podataka tako da li\u010de na skeniranje senzora ciljnog ure\u0111aja, pove\u0107avaju\u0107i vjerovatno\u0107u uspje\u0161ne autentifikacije.<\/span><\/p>\n

\"Equipment

Equipment required for launching BrutePrint (arxiv.org)<\/em><\/p><\/div>\n

Ure\u0111aji<\/strong><\/span><\/h4>\n

Sigurnosni istra\u017eiva\u010di su napravili seriju testova na deset izabranih Android<\/em> i iOS<\/em> ure\u0111aja, a otkrili su da je svaki ure\u0111aj bio podlo\u017ean najmanje jednoj identifikovanoj ranjivosti.<\/span><\/p>\n

Dok su Android<\/em> ure\u0111aji ranjivi na napade grubom silom zbog omogu\u0107avanja neograni\u010denih poku\u0161aja otiska prsta, iOS<\/em> ure\u0111aji imaju sna\u017ene bezbjednosne mjere autentifikacije koje efikasno spre\u010davaju takve napade. Istra\u017eiva\u010di su otkrili da, iako su odre\u0111eni modeli iPhone<\/em> ure\u0111aja ranjivi na CAMF<\/em>, ograni\u010den broj poku\u0161aja otiska prsta (do 15) \u010dini neprakti\u010dnim napade grubom silom nano\u0161enjem otiska prsta vlasnika, a svi testirani Android<\/em> ure\u0111aji su podlo\u017eni SPI<\/em> MITM<\/em> napadu, osim iPhone<\/em>. koji \u0161ifruju podatke o otisku prsta na SPI<\/em>, \u010dine\u0107i svako presretanje neefikasnim.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h5>\n

Mo\u017eda je za utjehu kada se zna da BrutePrint<\/em> ima ograni\u010denja zbog potrebe za du\u017eim fizi\u010dkim pristupom ciljnom ure\u0111aju. Me\u0111utim, sam potencijal da se omogu\u0107i lopovima da otklju\u010daju ukradene ure\u0111aje i izvuku privatne podatke, kao i eti\u010dki problemi i implikacije prava na privatnost za organe za sprovo\u0111enje zakona tokom istraga, podi\u017eu zna\u010dajna pitanja u vezi sa kr\u0161enjem prava i bezbjedno\u0161\u0107u pojedinaca u zemljama sa ograni\u010denom vladavinom prava ili represivnim re\u017eimima.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Sigurnosni istra\u017eiva\u010di sa Tencent Labs and Zhejiang univerziteta su prikazali novi na\u010din napada nazvan BrutePrint koji nasilnim poga\u0111anjem otiska prsta na pametnim telefonima zaobilazi mehanizam za\u0161tite od neovla\u0161tene upotrebe ure\u0111aja i omogu\u0107ava kontrolu nad...<\/p>","protected":false},"author":1,"featured_media":4870,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[187,221,387,388,186,342,389,390,392,391],"class_list":["post-4868","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-android","tag-brute-force","tag-bruteprint","tag-camf","tag-ios","tag-iphone","tag-mal","tag-mitm","tag-smartphone","tag-spi"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4868","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4868"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4868\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4870"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4868"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4868"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4868"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}