Uma falha na biometria por impressão digital do Android permite desbloquear o celular
25 de Maio de 2023

Uma falha crítica no sistema de biometria por impressão digital de smartphones Android permite que criminosos desbloqueiem o aparelho sem a autorização do usuário.

Pesquisadores em segurança digital descobriram uma brecha que possibilita a realização de ataques de força-bruta contra os dispositivos, burlando recursos de proteção e possibilitando o acesso a informações e uso dos dispositivos.

O golpe, chamado de BrutePrint, atingiria boa parte dos modelos disponíveis no mercado a partir de uma combinação de vulnerabilidades zero-day, aquelas que são desconhecidas até mesmo pelos próprios fabricantes.

Para que sejam exploradas, o criminoso precisa ter acesso ao smartphone por um período prolongado, durante o qual múltiplas tentativas de desbloqueio por impressão digital serão realizadas até que uma delas seja aceita pelo aparelho.

Os testes foram realizados em 10 modelos de celulares populares, assim como o iPhone SE e iPhone 7.

Somente os aparelhos da Apple passaram nos testes e não acabaram desbloqueados pelo ataque, enquanto todos os outros se provaram suscetíveis, o que levou os pesquisadores da Tencent e da Universidade de Zhejiang, na China, a declararem esta uma falha generalizada de todo o ecossistema Android.

Os criminosos podem usar equipamentos que custam apenas US$ 15, cerca de R$ 75, e precisam ter acesso a um banco de dados de informações biométricas para treinamento de inteligências artificiais.

O ataque tem alta complexidade e exige conhecimento técnico, mas uma vez programado, pode ser usado em diferentes aparelhos um após o outro.

O BrutePrint age a partir da exploração de diferentes recursos de segurança que protegem a biometria dos smartphones.

Usando uma placa programável, os criminosos podem explorar falhas e impedir que o sistema operacional detecte um erro de leitura biométrica, anulando assim as salvaguardas que bloqueiam o aparelho após repetidas tentativas.

Por meio desse método, também é possível ampliar a taxa de aceitação do dispositivo.

O ataque utiliza um sistema neural para melhorar as imagens de impressões digitais disponíveis aos criminosos, de forma a aumentar as chances de sucesso no desbloqueio.

Como resultado, os pesquisadores foram capazes de liberar tentativas infinitas de desbloqueio nos smartphones Android, bastando esperar até que o aparelho fosse liberado com sucesso.

O ideal é tomar cuidado com o celular e ter sistemas de travamento remoto ativados, de forma que os dados possam ser apagados do dispositivo de forma rápida e à distância em caso de perda ou roubo.

Limitar o número de impressões digitais cadastradas também pode reduzir a eficácia dos golpes, mas como dito, a medida não é definitiva, somente fará com que o ataque leve mais tempo para ser concluído.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...