BrutePrint: vulnerabile l'uso dell'impronta digitale
Topic
Approfondimenti
Trending
tutti

BrutePrint: vulnerabile l'uso dell'impronta digitale

Alcuni ricercatori cinesi hanno scoperto che l'autenticazione con impronta digitale non offre la massima protezione sui dispositivi Android.
BrutePrint: vulnerabile l'uso dell'impronta digitale
Sicurezza
Alcuni ricercatori cinesi hanno scoperto che l'autenticazione con impronta digitale non offre la massima protezione sui dispositivi Android.
Pixabay

Molti esperti di sicurezza consigliano di utilizzare l’autenticazione biometrica per determinate operazioni effettuate con uno smartphone, in particolare l’accesso alle app bancarie, evitando password deboli o codici inviati via SMS. Alcuni ricercatori cinesi hanno però utilizzato un nuovo tipo di attacco, denominato BrutePrint, che consente di aggirare l’autenticazione con impronta digitale.

Vulnerabilità zero-day CAMF e MAL

Gli attacchi brute force (forza bruta) sono utilizzati per scoprire un codice, una password o una chiave e accedere a sistemi, account e reti. Vengono prima cercate le combinazioni più semplici (ad esempio le password predefinite o l’immortale 123456), quindi si passa a combinazioni più complesse. Grazie alla potenza di calcolo disponibile oggi, l’operazione viene completata in poco tempo (se la password ha un lunghezza inferiore a 12 caratteri).

I ricercatori cinesi hanno applicato la tecnica per aggirare le protezioni dell’autenticazione con impronta digitale, come il numero massimo di tentativi. A tale scopo sono state sfruttate due vulnerabilità zero-day, denominata CAMF (Cancel-After-Match-Fail) e MAL (Match-After-Lock). Gli autori della studio hanno anche scoperto che i dati biometrici non sono correttamente protetti, consentendo un attacco man-in-the-middle.

I test sono state eseguiti con sei smartphone con Android, due smartphone Huawei con HarmonyOS e due iPhone. L’attacco richiede l’accesso fisico al dispositivo, un database di impronte digitale e una piccola scheda da collegare allo smartphone. L’obiettivo è inviare un numero illimitato di immagini delle impronte fino alla scoperta di quella dell’utente.

I dispositivi Android e HarmonyOS consentono un numero illimitato di tentativi, quindi è possibile lo sblocco e l’esecuzione di altre operazioni dopo aver trovato l’impronta. Gli iPhone permettono solo di incrementare il numero di tentativi da 5 a 15, pertanto un attacco brute force non è possibile.

Per quanto riguarda l’attacco man-in-the-middle, tutti gli smartphone Android e HarmonyOS sono vulnerabili. Gli iPhone bloccano invece questo tipo di attacco perché i dati biometrici sono cifrati. L’attacco BrutePrint consente di trovare l’impronta digitale in un intervallo di tempo compreso tra 2,9 e 13,9 ore.

Fonte: BleepingComputer

Pubblicato il 22 mag 2023

Link copiato negli appunti

Ti potrebbe interessare

Black Friday, aumentano le truffe online: i consigli

Black Friday, aumentano le truffe online: i consigli
Amazon Music e Spotify: software pirata in playlist

Amazon Music e Spotify: software pirata in playlist
Approfitta delle migliori offerte per il Black Friday con NordVPN

Approfitta delle migliori offerte per il Black Friday con NordVPN
Multa di 5 milioni a Foodinho dal Garante Privacy

Multa di 5 milioni a Foodinho dal Garante Privacy
Black Friday, aumentano le truffe online: i consigli

Black Friday, aumentano le truffe online: i consigli
Amazon Music e Spotify: software pirata in playlist

Amazon Music e Spotify: software pirata in playlist
Approfitta delle migliori offerte per il Black Friday con NordVPN

Approfitta delle migliori offerte per il Black Friday con NordVPN
Multa di 5 milioni a Foodinho dal Garante Privacy

Multa di 5 milioni a Foodinho dal Garante Privacy
Luca Colantuoni
Pubblicato il
22 mag 2023
Link copiato negli appunti