Il existe un moyen de « forcer brutalement » les empreintes digitales sur les appareils Android et avec un accès physique au smartphone, et suffisamment de temps, un pirate pourrait déverrouiller l’appareil, selon un rapport de chercheurs en cybersécurité de Tencent Labs et de l’Université du Zhejiang.
Selon le rapport, il existe deux vulnérabilités zero-day présentes dans les appareils Android (ainsi que ceux alimentés par iOS d’Apple et HarmonyOS de Huawei), appelées Cancel-After-Match-Fail (CAMF) et Match-After-Lock (MAL) .
En abusant de ces failles, les chercheurs sont parvenus à faire deux choses : faire en sorte qu’Android autorise un nombre infini de tentatives d’analyse d’empreintes digitales ; et utiliser des bases de données trouvées dans des ensembles de données universitaires, des fuites de données biométriques, etc.
Matériel bon marché
Pour réussir les attaques, les attaquants avaient besoin de deux choses : un accès physique à un smartphone sous Android, suffisamment de temps et 15 $ de matériel.
Les chercheurs ont nommé l’attaque « BrutePrint » et affirment que pour un appareil qui n’a qu’une seule empreinte digitale configurée, il faudrait entre 2,9 et 13,9 heures pour pénétrer le point final. Les appareils avec plusieurs enregistrements d’empreintes digitales sont beaucoup plus faciles à pénétrer, ont-ils ajouté, le temps moyen d’« impression brutale » étant compris entre 0,66 heure et 2,78 heures.
Les chercheurs ont effectué le test sur dix « modèles de smartphones populaires », ainsi que sur quelques appareils iOS. Nous ne savons pas exactement quels modèles étaient vulnérables, mais ils ont déclaré que sur les appareils Android et HarmonyOS, ils avaient réussi à réaliser des essais infinis. Pour les appareils iOS, cependant, ils n’ont réussi à obtenir que dix tentatives supplémentaires sur les modèles d’iPhone SE et d’iPhone 7, ce qui n’est pas suffisant pour réussir l’attaque. Ainsi, la conclusion est que bien qu’iOS puisse être vulnérable à ces défauts, la méthode actuelle de s’introduire dans l’appareil par force brute ne suffira pas.
Bien que ce type d’attaque ne soit peut-être pas si attrayant pour le pirate ordinaire, il pourrait être utilisé par des acteurs parrainés par l’État et des organismes d’application de la loi, ont conclu les chercheurs.
Via : BleepingComputer