Uma falha na biometria por impressão digital do Android permite desbloquear o celular
25 de Maio de 2023

Uma falha crítica no sistema de biometria por impressão digital de smartphones Android permite que criminosos desbloqueiem o aparelho sem a autorização do usuário.

Pesquisadores em segurança digital descobriram uma brecha que possibilita a realização de ataques de força-bruta contra os dispositivos, burlando recursos de proteção e possibilitando o acesso a informações e uso dos dispositivos.

O golpe, chamado de BrutePrint, atingiria boa parte dos modelos disponíveis no mercado a partir de uma combinação de vulnerabilidades zero-day, aquelas que são desconhecidas até mesmo pelos próprios fabricantes.

Para que sejam exploradas, o criminoso precisa ter acesso ao smartphone por um período prolongado, durante o qual múltiplas tentativas de desbloqueio por impressão digital serão realizadas até que uma delas seja aceita pelo aparelho.

Os testes foram realizados em 10 modelos de celulares populares, assim como o iPhone SE e iPhone 7.

Somente os aparelhos da Apple passaram nos testes e não acabaram desbloqueados pelo ataque, enquanto todos os outros se provaram suscetíveis, o que levou os pesquisadores da Tencent e da Universidade de Zhejiang, na China, a declararem esta uma falha generalizada de todo o ecossistema Android.

Os criminosos podem usar equipamentos que custam apenas US$ 15, cerca de R$ 75, e precisam ter acesso a um banco de dados de informações biométricas para treinamento de inteligências artificiais.

O ataque tem alta complexidade e exige conhecimento técnico, mas uma vez programado, pode ser usado em diferentes aparelhos um após o outro.

O BrutePrint age a partir da exploração de diferentes recursos de segurança que protegem a biometria dos smartphones.

Usando uma placa programável, os criminosos podem explorar falhas e impedir que o sistema operacional detecte um erro de leitura biométrica, anulando assim as salvaguardas que bloqueiam o aparelho após repetidas tentativas.

Por meio desse método, também é possível ampliar a taxa de aceitação do dispositivo.

O ataque utiliza um sistema neural para melhorar as imagens de impressões digitais disponíveis aos criminosos, de forma a aumentar as chances de sucesso no desbloqueio.

Como resultado, os pesquisadores foram capazes de liberar tentativas infinitas de desbloqueio nos smartphones Android, bastando esperar até que o aparelho fosse liberado com sucesso.

O ideal é tomar cuidado com o celular e ter sistemas de travamento remoto ativados, de forma que os dados possam ser apagados do dispositivo de forma rápida e à distância em caso de perda ou roubo.

Limitar o número de impressões digitais cadastradas também pode reduzir a eficácia dos golpes, mas como dito, a medida não é definitiva, somente fará com que o ataque leve mais tempo para ser concluído.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...