Mind a mai napig a biometrikus azonosítás tűnik a legerősebbnek. Tökéletes védelmet azonban nem ad. A Cisco Talos kutatói már 2020-ban bizonyították, hogy az ujjlenyomatok klónozhatók. Most két kínai kutató brute force módszerekkel tört fel ujjlenyomat-azonosítással védett okostelefonokat. A BrutePrintnek nevezett támadási mód során ujjlenyomat-képet küldtek a célkészüléknek mindaddig, amíg a kép nem egyezett elfogadható mértékben a felhasználó által megadott ujjlenyomattal.

Az Arxiv.org-on közzétett tanulmányukban (pdf) több olyan hibára is rávilágítanak, amely ezt lehetővé teszi. Az androidos készülékek egy részén az ujjlenyomat-érzékelők kommunikációs interfésze nem védi megfelelően a biometrikus adatokat, ezért man-in-the-middle (MITM) típusú támadással eltéríthetők az ujjlenyomat-képek (ez iOS-es eszközökön nem működik, mert ott titkosított a kommunikáció). Emellett találtak további két olyan nulladik napi sérülékenységet is, amelyeket kiaknázva sikeres brute force támadásokat lehet végrehajtani. Módszerüket tíz okostelefon-modellen (volt köztük androidos, HarmonyOS-es és iOS-es is) tesztelték – a tanulmány szerint meglehetős sikerrel.

Büntetlenül próbálkozhattak

A nulladik napi sérülékenységek segítségével két fontos védelmi mechanizmust tudtak kiiktatni: a próbálkozások számának korlátozását, valamint az élethűség-érzékelést (azaz hogy a minta milyen mértékben egyezik az eredetinek megadott ujjlenyomattal). Az androidos és HarmonyOS-es (Huawei) készülékeken akárhányszor próbálkozhattak, de még az iOS-ek esetében is 15 kísérletig jutottak a limiten felül.

Persze egy ilyen támadás végrehajtása meglehetősen bonyolult. A támadónak fizikailag hozzá kell férnie a célkészülékhez, valamint szükség van egy jó ujjlenyomat-adatbázisra. Utóbbit ki lehet nyerni tudományos adatkészletekből vagy kiszivárgott biometrikus adatokat is lehet venni a dark neten. Emellett kell a töréshez némi fejlesztés és egy körülbelül 15 dollárért beszerezhető kis berendezés, amely automatikusan adja be a szenzornak az ujjlenyomatképeket.

A korlátozást úgy sikerült kiiktatni, hogy egy ellenőrzőösszeg-hibát injektáltak az ujjlenyomatadatokba. Ez a hitelesítési folyamatot egy olyan korai ponton állította le, amikor az már kiderült, hogy az adott minta megfelelő-e, de az eszköz védelmi rendszere még nem regisztrált próbálkozást. Voltak olyan készülékek is, amikor a lockout mód aktiválódása után (amikor a készülék jelezte, hogy nem engedélyez további próbálkozást) is lehetett folytatni a próbálkozást.

A BrutePrint-támadásnak volt még egy fontos eleme, amit a kutatók neurális stílusú átviteli rendszernek neveztek. Ez a töréshez használt adatbázis képeit alakította át úgy, hogy azok úgy nézzenek ki, mintha a célkészülék szenzora olvasta volna be. Mint a BleepingComputer felhívja a figyelmet a tanulmányról készített összefoglalójában, a jelszóval ellentétben az ujjlenyomat-azonosításnál nem teljes egyezést vár el a rendszer: egy előre meghatározott egyezési arány, azaz False Acceptance Rate elérésénél már érvényes a megadott ujjlenyomatkép. A támadók ezt az értéket is manipulálhatják, hogy a rendszer kisebb mértékű egyezést is elfogadjon.

A telefonokat egyébként 2,9 és 13,9 óra alatt sikerült feltörni. Érdekesség, hogy ha egy készülék tulajdonosa több ujjlenyomatot is rögzített készülékén, drámaian csökkent a töréshez szükséges idő (0,7 – 2,8 óra).