V mobilním telefonu všichni nosíme více či méně citlivá osobní data, která pokud uniknou, může nás to více či méně mrzet. Důležitou ochranou je zámek displeje, v nejčastějším případě PIN kód, klasické heslo, gesto na displeji, nebo biometrické ověření pomocí otisku prstu.
BrutePrint proti Androidu
Právě proti tomuto opatření však podvodníci našli celkem účinný trik. Jmenuje se BrutePrint a dokáže odemknout váš telefon za pomocí falešného otisku prstu za zhruba 45 minut. Útočníkům přitom stačí malé zařízení, které pořídí za zhruba 350 korun.
BrutePrint vyžaduje, aby měl protivník fyzickou kontrolu nad zařízením. Cílem je útok tzv. hrubou silou, tedy neustálým opakováním pokusů o odhad otisku prstu, dokud se nenajde jeden, který zařízení odemkne.
Útok využívá zranitelnosti a slabiny v zařízení SFA (ověřování otisků prstů smartphonu). Napadený telefon pak jen připojí ke speciální desce a spustí databázi otisků prstů, podobnou těm, které se používají ve výzkumu nebo které unikly na internet. BrutePrint se pak může neomezeněkrát pokusit telefon odemknout pomocí dostupných údajů o otiscích prstů.
Na rozdíl od ověřování heslem, které vyžaduje přesnou shodu, určuje ověřování otiskem prstu shodu pomocí referenční prahové hodnoty. To znamená, že v praxi stačí k prolomení zámku jen dostatečně podobný otisk prstu, ne naprostá shoda.
Samsung pohořel, iPhone je imunní
Odborníci zkoušeli tento podvod na telefonech Xiaomi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, Oppo Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate 30 Pro, P40 a také iPhone SE a iPhone 7.
Nejhorší výsledek odvedl Samsung (prolomen byl už za 45 minut), zatímco nejlépe si vedlo Xiaomi, které se odemklo za skoro 3 hodiny. iPhony se proti tomuto podvodu zdají býti imunní, protože data šifrují přímo na zařízení, na rozdíl od uvedených starších telefonů Android.
Zdroj: Ars Technica
