Android telefonları sınaqdan keçmədi: Barmaq izi kilidi qırıla bilir!

Müasir dünyada bir çox insan cihazlarının və məlumatlarının təhlükəsizliyini təmin etmək üçün telefonlarını barmaq izi kilidi ilə qoruyur. Ancaq görünür ki, bu o qədər də təhlükəsiz yol deyil. Çoxumuz inanırıq ki, Android telefonlarımız itirildikdə və ya oğurlandıqda, barmaq izi  kilidi həssas məlumatları qoruyacaq. Təəssüf ki, çinli tədqiqatçılar kobud güc hücumundan istifadə edərək bu müdafiədən yayınmağın bir yolunu tapıblar.

Tencent Labs və Zhejiang Universitetinin tədqiqatçıları aşkar ediblər ki, onlar parol, kod və ya digər təhlükəsizlik mühafizəsi formalarını tapmaq üçün çoxsaylı cəhd göstərərək Android smartfonlarında barmaq izi kilidini aşa bilərlər.

iOS təhlükəsizdir, lakin Android müdafiəsizdir

Kobud güc hücumlarından qorunmaq üçün Android telefonlarında tez-tez istifadəçinin edə biləcəyi cəhdlərin sayını məhdudlaşdırmaq kimi tədbirlər var. Bununla belə, tədqiqatçılar Cancel-After-Match-Fail (CAMF) ve Match-After-Lock (MAL) adlı iki boşluqdan istifadə edərək bu tədbirlərdən yan keçə biliblər.  

Məlumata görə, barmaq izi sensorlarının Serial Periferik İnterfeysindəki (SPI) biometrik məlumatların hərtərəfli qorunmadığı aşkar edilib və beləliklə, MITM hücumunun barmaq izlərini oğurlamasına şərait yaradılıb. Tədqiqatçılar 10 məşhur smartfon modelində BrutePrint adlı kobud güc hücumunu sınaqdan keçiriblər. Onlar Android və HarmonyOS (Huawei) telefonlarında məhdudiyyətsiz sayda barmaq izi ilə giriş cəhdləri edə biliblər. iPhone SE və iPhone 7 üzərindəki sınaqlarda təhlükəsizlik tədbirlərinin öhdəsindən gəlmək mümkün olmayıb.

Təhlillərə görə, BrutePrint yalnız bir barmaq izi dəsti olan cihazda 2,9 ilə 13,9 saat arasında işləməyə qadirdir. Birdən çox barmaq izi  olan telefonlarda hücumçuların uyğunluq tapmaq şansı daha yüksəkdir və müvəffəqiyyət müddəti 0,66 saat ilə 2,78 saat arasında olur.

Yaxşı xəbər budur ki, bu, həyata keçirilmiş ən asan hücum üsulu deyil. Kiminsə telefonuna sadəcə fiziki girmək və müəyyən vaxt keçirmək yox, həm də biometrik məlumat sızması və ya barmaq izi verilənlər bazasına daxil olmaq lazımdır. Digər tərəfdən, hüquq-mühafizə və ya dövlət qurumlarının bu zəifliklərdən asanlıqla yararlana biləcəyi bildirilir.