Peneliti Tencent Labs dan Universitas Zhejiang mempresentasikan serangan baru yang disebut “BrutePrint” yang memaksa fingerprint pada smartphone modern untuk melewati autentikasi pengguna dan mengambil kendali perangkat. Gagasan BrutePrint adalah melakukan pengiriman 03 gambar fingerprint dalam jumlah tak terbatas ke perangkat target hingga fingerprint yang ditentukan pengguna cocok. Penyerang juga membutuhkan akses fisik ke perangkat target, akses ke basis data fingerprint, dan peralatan yang diperlukan dengan biaya sekitar $15. Hal ini berlawanan dengan cara kerja peretasan kata sandi, pencocokan fingerprint sehingga penyerang dapat memanipulasi False Acceptance Rate (FAR). BrutePrint berdiri diantara sensor fingerprint dan Trusted Execution Environtment (TEE) dan mengeksploitasi kerentanan CAMF (Cancel-After-Match-Fail) untuk memanipulasi mekanisme multi-sampling dan pembatalan kesalahan autentikasi sidik jari pada smartphone. Perangkat Android yang teruji memungkinkan uji coba fingerprint tanpa batas, namun pada iOS, keamanan autentikasi jauh lebih kuat sehingga efektif mencegah serangan brute-forcing. BrutePrint mungkin tidak tampak seperti serangan yang tangguh karena membutuhkan akses yang lama ke perangkat target. Namun, batasan yang dirasakan ini tidak boleh merusak nilainya bagi pencuri dan penegakan hukum.
sumber
gambar
sumber
gambar
