Um novo ataque BrutePrint permite que invasores desbloqueiem smartphones com força bruta de impressão digital. Pesquisadores descobriram uma técnica de ataque barata que pode ser aproveitada para impressões digitais de força bruta em smartphones para contornar a autenticação do usuário e assumir o controle dos dispositivos.
A abordagem, apelidada de BrutePrint, contorna os limites estabelecidos para combater as tentativas de autenticação biométrica com falha, armando duas vulnerabilidades de dia zero na estrutura de autenticação de impressão digital (SFA) do smartphone.
As falhas, Cancel-After-Match-Fail (CAMF) e Match-After-Lock (MAL), alavancam defeitos lógicos na estrutura de autenticação, que surgem devido à proteção insuficiente dos dados de impressão digital na Serial Peripheral Interface (SPI) da impressão digital sensores.
O resultado é uma “abordagem de hardware para fazer ataques man-in-the-middle (MitM) para sequestro de imagens de impressões digitais”, disseram os pesquisadores Yu Chen e Yiling He em um trabalho de pesquisa. “O BrutePrint atua como um intermediário entre o sensor de impressão digital e o TEE [Trusted Execution Environment].”
Ataque BrutePrint permite que invasores desbloqueiem smartphones com força bruta de impressão digital
O objetivo, em sua essência, é realizar um número ilimitado de envios de imagens de impressões digitais até que haja uma correspondência. No entanto, pressupõe que um agente de ameaça já esteja de posse do dispositivo alvo em questão.
Além disso, exige que o adversário possua um banco de dados de impressões digitais e uma configuração que inclua uma placa de microcontrolador e um clicker automático que pode sequestrar dados enviados por um sensor de impressão digital para realizar o ataque por apenas US$ 15.
A primeira das duas vulnerabilidades que tornam esse ataque possível é o CAMF, que permite aumentar as capacidades de tolerância a falhas do sistema invalidando a soma de verificação dos dados da impressão digital, dando assim ao invasor tentativas ilimitadas.
O MAL, por outro lado, explora um canal lateral para inferir correspondências das imagens de impressões digitais nos dispositivos de destino, mesmo quando entra em modo de bloqueio após muitas tentativas repetidas de login.
“Embora o modo de bloqueio seja verificado no Keyguard para desativar o desbloqueio, o resultado da autenticação foi feito pelo TEE”, explicaram os pesquisadores.
“Como o resultado da autenticação de sucesso é retornado imediatamente quando uma amostra correspondente é encontrada, é possível que ataques de canal lateral infiram o resultado de comportamentos como tempo de resposta e número de imagens adquiridas”.
Em uma configuração experimental, o BrutePrint foi avaliado em 10 modelos diferentes de smartphones da Apple, Huawei, OnePlus, OPPO, Samsung, Xiaomi e Vivo, resultando em infinitas tentativas no Android e HarmonyOS e 10 tentativas adicionais em dispositivos iOS.
As descobertas vêm como um grupo de acadêmicos detalhando um canal lateral híbrido que tira proveito da “troca de três vias entre velocidade de execução (ou seja, frequência), consumo de energia e temperatura” em sistemas modernos em chips (SoCs) e GPUs para conduzir “roubo de pixel baseado em navegador e ataques de detecção de histórico” contra Chrome 108 e Safari 16.2.
Detalhes do ataque
O ataque, chamado Hot Pixels, aproveita esse comportamento para montar ataques de impressão digital de sites e empregar código JavaScript para colher o histórico de navegação do usuário.
Os problemas foram reconhecidos pela Apple, Google, AMD, Intel, Nvidia, Qualcomm. Os pesquisadores também recomendam “proibir a aplicação de filtros SVG a iframes ou hiperlinks” e impedir o acesso não privilegiado às leituras do sensor.
BrutePrint e Hot Pixels também seguem a descoberta do Google de 10 defeitos de segurança nas extensões de domínio de confiança da Intel (TDX) que podem levar à execução arbitrária de código, condições de negação de serviço e perda de integridade.
Em uma nota relacionada, as CPUs Intel também foram consideradas suscetíveis a um ataque de canal lateral que faz uso de variações no tempo de execução causadas pela alteração do registro EFLAGS durante a execução transitória para decodificar dados sem depender do cache.