HandysTechnik News

15€ – Werkzeug ermöglicht das einfache Hacken von Android-Handys über Fingerabdruck-Sensor

Zuletzt aktualisiert am 26. Mai 2023 von Lars Weidmann

Forscher haben entdeckt, dass zwei Zero-Day-Schwachstellen, die im Fingerabdruck-Authentifizierungsrahmen nahezu aller Smartphones vorhanden sind, ausgenutzt werden können, um Android-Handys zu entsperren.

Der Angriff wurde BrutePrint genannt. Hierfür ist eine 15-Euro-Platine mit einem Mikrocontroller, einem analogen Schalter, einer SD-Flash-Karte und einem Board-zu-Board-Stecker erforderlich. Der Angreifer muss zudem mindestens 45 Minuten im Besitz des Smartphones des Opfers sein und eine Datenbank mit Fingerabdrücken wird ebenfalls benötigt.

Android-Handys können in nur 45 Minuten gehackt werden

Die Forscher haben acht Android-Handys – Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G und Huawei P40 – sowie zwei iPhones – iPhone SE und iPhone 7 – getestet.

Siehe auch  Samsung Galaxy A15: 5G für alle erschwinglich

Smartphones erlauben eine begrenzte Anzahl von Fingerabdruckversuchen, aber BrutePrint kann diese Begrenzung umgehen. Der Fingerabdruck-Authentifizierungsprozess erfordert keine direkte Übereinstimmung zwischen den eingegebenen Werten und dem Datenbankwert. Stattdessen wird ein Referenzschwellenwert verwendet, um eine Übereinstimmung festzustellen. Ein Angreifer kann dies ausnutzen, indem er verschiedene Eingaben ausprobiert, bis er ein Bild verwendet, das dem in der Fingerabdruckdatenbank gespeicherten Bild ähnlich sieht.

Der Angreifer muss die Rückabdeckung des Telefons entfernen, um die 15-Dollar-Platine anzubringen und den Angriff durchzuführen. Die Forscher konnten alle acht Android-Handys mit dieser Methode entsperren. Sobald ein Telefon entsperrt ist, kann es auch zur Autorisierung von Zahlungen verwendet werden.

Der gesamte Prozess kann je nach Faktoren wie dem Fingerabdruck-Authentifizierungsrahmen eines bestimmten Modells und der Anzahl der gespeicherten Fingerabdrücke für die Authentifizierung zwischen 40 Minuten und 14 Stunden dauern.

Siehe auch  Achtung! Gefälschte Android-Apps stehlen Bankdaten: So schützen Sie sich jetzt

Das Galaxy S10+ hat am schnellsten nachzugeben (0,73 bis 2,9 Stunden), während das Mi 11 am längsten durchgehalten hat (2,78 bis 13,89 Stunden).

iPhone ist sicher, da iOS Daten verschlüsselt

Die Fingerabdruck-Authentifizierung auf Smartphones verwendet eine serielle Peripherie-Schnittstelle, um einen Sensor mit dem Smartphone-Chip zu verbinden. Da Android Daten nicht verschlüsselt, kann BrutePrint problemlos Bilder stehlen, die auf den Zielgeräten gespeichert sind.

Laut Security Boulevard müssen sich Besitzer neuer Android-Telefone keine Sorgen machen, da der Angriff voraussichtlich bei Telefonen, die den neuesten Standards von Google folgen, nicht funktionieren wird.

Yu Chen und Yiling He haben mehrere Änderungen empfohlen, um solche Angriffe zu vereiteln, wie z.B. das Beheben von Versuchen zur Umgehung von Begrenzungen und die Verschlüsselung der Daten, die zwischen dem Fingerabdruckleser und dem Chipsatz übertragen werden.

Siehe auch  Die Pixel Watch 2: Spannende neue Details enthüllt
Avatar-Foto

Lars Weidmann

Lars Weidmann ist ein Technik-Enthusiast, der sich für eine Vielzahl von Themen im Bereich Technologie begeistert. Sein Interesse an Technik begann bereits in jungen Jahren, als er zum ersten Mal einen Computer benutzte und sich sofort für dessen Funktionsweise und Möglichkeiten begeisterte. Fragen, Kritik oder Anregungen zu meinem Artikel? Schreiben Sie mir unter [email protected] Seine Begeisterung für Technologie und seine Fähigkeit, komplexe Konzepte verständlich zu erklären, machen ihn zu einem geschätzten Autor und Experten auf seinem Gebiet.