Inilah berapa lama waktu yang dibutuhkan serangan BrutePrint baru untuk membuka 10 smartphone yang berbeda
Gambar Getty
Para peneliti telah merancang sebuah serangan smartphone berbiaya rendah yang memecahkan sidik jari autentikasi yang digunakan untuk membuka kunci layar dan melakukan tindakan sensitif lainnya pada berbagai perangkat Android hanya dalam waktu 45 menit.
Dijuluki BrutePrint oleh penciptanya, serangan itu membutuhkan musuh untuk memiliki kontrol fisik atas perangkat ketika hilang, dicuri, diserahkan sementara, atau tanpa pengawasan, misalnya, saat pemiliknya sedang tidur. Tujuannya: untuk mendapatkan kemampuan untuk melakukan serangan brute-force yang mencoba tebakan sidik jari dalam jumlah besar sampai ditemukan yang akan membuka kunci perangkat. Serangan tersebut mengeksploitasi kerentanan dan kelemahan pada perangkat SFA (autentikasi sidik jari smartphone).
Ikhtisar BrutePrint
BrutePrint adalah serangan murah yang mengeksploitasi kerentanan yang memungkinkan orang untuk membuka kunci perangkat dengan mengeksploitasi berbagai kerentanan dan kelemahan dalam sistem otentikasi sidik jari smartphone. Berikut alur kerja dari sistem ini, yang biasanya disingkat SFA.
Alur kerja sistem autentikasi sidik jari smartphone.
Inti dari peralatan yang diperlukan untuk BrutePrint adalah papan sirkuit seharga $15 yang berisi (1) mikrokontroler STM32F412 dari STMicroelectronics, (2) sakelar analog dua arah, dua saluran, yang dikenal sebagai RS2117, (3) kartu flash SD dengan 8GB memori, dan (4) konektor board-to-board yang terhubung ke motherboard telepon ke sirkuit cetak fleksibel sidik jari dari sensor sidik jari.
Perangkat musuh yang membentuk inti dari serangan BrutePrint.
Selain itu, serangan tersebut membutuhkan database sidik jari, serupa dengan yang digunakan dalam penelitian atau bocor dalam pelanggaran dunia nyata seperti ini.
Gambaran umum tentang serangan BrutePrint.
Tidak semua smartphone diciptakan sama
Lebih lanjut tentang cara kerja BrutePrint nanti. Pertama, uraian tentang bagaimana nasib berbagai mannequin ponsel. Secara keseluruhan, para peneliti menguji 10 mannequin: Xiaomi Mi 11 Extremely, Vivo X60 Professional, OnePlus 7 Professional, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Professional 5G, Huawei P40, Apple iPhone SE, Apple iPhone 7.
Daftar perangkat yang diuji beserta berbagai atribut perangkat.
Para peneliti menguji masing-masing untuk berbagai kerentanan, kelemahan, atau kerentanan terhadap berbagai teknik serangan. Atribut yang diperiksa meliputi jumlah sampel dalam multi-sampling, adanya error-cancel, dukungan hot-plugging, apakah information dapat didekodekan, dan frekuensi transmisi information pada SPI. Selain itu, para peneliti menguji tiga serangan: upaya melewati batas, pembajakan gambar sidik jari, dan pemaksaan sidik jari.
Hasil dari berbagai serangan pada berbagai perangkat yang diuji.
Terakhir, para peneliti memberikan hasil yang menunjukkan waktu yang dibutuhkan berbagai ponsel untuk membuat sidik jari mereka dipaksa. Karena lamanya waktu bergantung pada jumlah cetakan yang diotorisasi, maka peneliti menetapkan masing-masing menjadi satu cetakan.
Tingkat keberhasilan berbagai perangkat yang diuji, dengan Galaxy S10+ membutuhkan waktu paling sedikit (0,73 hingga 2,9 jam) dan Mi11 membutuhkan waktu paling lama (2,78 hingga 13,89 jam).
Meskipun spesifiknya bervariasi, hasilnya adalah BrutePrint dapat mencoba sidik jari autentikasi dalam jumlah tak terbatas pada kedelapan mannequin Android yang diuji. Bergantung pada berbagai faktor, termasuk kerangka autentikasi sidik jari dari ponsel tertentu dan jumlah sidik jari yang disimpan untuk autentikasi, dibutuhkan sekitar 40 menit hingga 14 jam.
