Uma falha crítica no sistema de biometria por impressão digital de smartphones Android permite que criminosos desbloqueiem o aparelho sem a autorização do usuário.
Pesquisadores em segurança digital descobriram uma brecha que possibilita a realização de ataques de força-bruta contra os dispositivos, burlando recursos de proteção e possibilitando o acesso a informações e uso dos dispositivos.
O golpe, chamado de BrutePrint, atingiria boa parte dos modelos disponíveis no mercado a partir de uma combinação de vulnerabilidades zero-day, aquelas que são desconhecidas até mesmo pelos próprios fabricantes.
Para que sejam exploradas, o criminoso precisa ter acesso ao smartphone por um período prolongado, durante o qual múltiplas tentativas de desbloqueio por impressão digital serão realizadas até que uma delas seja aceita pelo aparelho.
Os testes foram realizados em 10 modelos de celulares populares, assim como o iPhone SE e iPhone 7.
Somente os aparelhos da Apple passaram nos testes e não acabaram desbloqueados pelo ataque, enquanto todos os outros se provaram suscetíveis, o que levou os pesquisadores da Tencent e da Universidade de Zhejiang, na China, a declararem esta uma falha generalizada de todo o ecossistema Android.
Os criminosos podem usar equipamentos que custam apenas US$ 15, cerca de R$ 75, e precisam ter acesso a um banco de dados de informações biométricas para treinamento de inteligências artificiais.
O ataque tem alta complexidade e exige conhecimento técnico, mas uma vez programado, pode ser usado em diferentes aparelhos um após o outro.
O BrutePrint age a partir da exploração de diferentes recursos de segurança que protegem a biometria dos smartphones.
Usando uma placa programável, os criminosos podem explorar falhas e impedir que o sistema operacional detecte um erro de leitura biométrica, anulando assim as salvaguardas que bloqueiam o aparelho após repetidas tentativas.
Por meio desse método, também é possível ampliar a taxa de aceitação do dispositivo.
O ataque utiliza um sistema neural para melhorar as imagens de impressões digitais disponíveis aos criminosos, de forma a aumentar as chances de sucesso no desbloqueio.
Como resultado, os pesquisadores foram capazes de liberar tentativas infinitas de desbloqueio nos smartphones Android, bastando esperar até que o aparelho fosse liberado com sucesso.
O ideal é tomar cuidado com o celular e ter sistemas de travamento remoto ativados, de forma que os dados possam ser apagados do dispositivo de forma rápida e à distância em caso de perda ou roubo.
Limitar o número de impressões digitais cadastradas também pode reduzir a eficácia dos golpes, mas como dito, a medida não é definitiva, somente fará com que o ataque leve mais tempo para ser concluído.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...