手机指纹暴力破解攻击影响所有安卓设备和部分 iOS 设备。
(资料图片)
暴力破解攻击是指通过多次尝试的方法来破解口令、密码、密钥,以获取账户、系统、网络等的非授权访问。腾讯玄武实验室与浙江大学研究人员提出一种针对手机指纹保护的暴力破解攻击方法—— BrutePrint,可暴力破解智能手机指纹以绕过用户认证,并控制设备。
研究人员利用了 2 个 0 day 漏洞来绕过智能手机上现有的针对暴力破解的防护措施,比如尝试次数限制和活性检测。这两个漏洞分别是 Cancel-After-Match-Fail ( CAMF,匹配失败后取消 ) 和 Match-After-Lock ( MAL,锁定后匹配 ) 。研究人员发现指纹传感器的串行外设接口 ( Serial Peripheral Interface,SPI ) 上的生物数据未得到充分的保护,可以通过中间人攻击(MITM)来劫持指纹图像。
BrutePrint 攻击
BrutePrint 攻击的原理是向目标设备提交无数次的指纹图像直到与用户定义的指纹匹配。
图 BrutePrint 攻击BrutePrint 攻击的攻击者需要有目标设备的物理访问权限,并能够访问指纹数据库,如学术研究数据库或泄露的指纹数据库,以及大约 15 美元的攻击设备。
图 发起 BrutePrint 攻击所需的设备与密码破解不同,指纹匹配使用的是参考门限而非特定值,因此攻击者可以通过操纵 False Acceptance Rate ( FAR,错误接受率 ) 来增加接收门限,并更加容易得创建匹配的指纹。
BrutePrint 攻击位于指纹传感器与可信执行环境(TEE)之间,利用 CAMF 漏洞来操纵智能手机指纹认证的多点采样和错误取消机制。CAMF 在指纹数据上注入一个错误的校验和以停止认证过程。因此,攻击者可以在目标设备上不断尝试指纹输入,但手机保护机制并不会记录错误的尝试次数,最终实现无限次的尝试。
图 CAMF 漏洞攻击逻辑MAL 漏洞使得攻击者可以推断出指纹图像的认证结果,即使设备处于锁定模式。
图 引发 MAL 漏洞的机制锁定模式是连续多次输入指纹解锁失败的一种保护机制。在锁定时间内,设备不会接受解锁请求,但 MAL 漏洞可以帮助绕过这一限制。
BrutePrint 攻击使用 neural style transfer(神经风格迁移)系统将数据库中的所有指纹图像转换为看似是设备传感器扫描的。
图 根据传感器类型改进图像实验数据
研究人员在 10 款主流智能手机上对 BrutePrint 和 SPI MITM 攻击进行了测试,并成功在所有安卓和鸿蒙设备上实现了无限制尝试次数,并在 iOS 设备上实现了额外的 10 次尝试。
图 测试的设备因为在安卓设备上实现了无限的测试次数,因此只要有足够的时间,攻击者就可以暴露破解安卓设备指纹,并解锁设备。
在 iOS 设备中,虽然 iPhone SE 和 iPhone 7 受到 CAMF 漏洞的影响,但研究人员只能将指纹攻击的尝试次数增加到 15 次,还不足以暴露破解指纹并解锁设备。
图 测试结果对于 SPI MITM 攻击,所有受测的安卓设备都可以劫持用户指纹图像,但 iPhone 不受到该攻击的影响,因为 iPhone 加密了 SPI 上的指纹数据,所以拦截数据对攻击没有任何意义。
实验表明,如果设备中只录入了一份指纹,那么完成 BrutePrint 攻击所需的时间在 2.9 小时到 13.9 小时之间。如果目标设备中录入了多个指纹,那么暴力破解所需的时间会减少到 0.66 小时到 2.78 小时之间。
图 暴力破解指纹所需时间结论
总的来看,BrutePrint 在针对普通用户的攻击来说可能性不大。但对于犯罪分子和执法机构来说,BrutePrint 暴力破解具有现实意义。犯罪分子可以通过暴力破解解锁被窃的设备,并提取出其中的数据。而执法机构通过暴力破解攻击可以在调查取证过程中绕过设备的安全防护。
