BrutePrint: Android-смартфоны уязвимы к брутфорсу отпечатка пальца

Екатерина Быстрова 22 Мая 2023 - 10:36

Домашние пользователи

Android

Биометрические системы аутентификации

Взлом программ

Брутфорс

Уязвимости программ

...

BrutePrint: Android-смартфоны уязвимы к брутфорсу отпечатка пальца

Специалисты Чжэцзянского университета и Tencent Labs рассказали о новом векторе атаки, который получил имя BrutePrint. Его суть заключается в бесконечном количестве попыток аутентификации по отпечатку пальца для получения контроля над мобильным устройством на Android.

Как известно, брутфорс-атаки подразумевают множество попыток входа с помощью пароля или другого кода, которые в процессе не раз заканчиваются ошибкой. Задача атакующих — получить несанкционированный доступ к аккаунтам, системам или сетям.

Китайским исследователям удалось обойти защитный механизм, блокирующий количество неудачных попыток входа с помощью отпечатка пальца на современных Android-смартфонах. В этом им помогла связка из двух уязвимостей: Cancel-After-Match-Fail (CAMF) и Match-After-Lock (MAL).

Технические подробности BrutePrint авторы опубликовали на ресурсе Arxiv.org. Согласно отчёту, им удалось выявить недостаточную защищённость биометрических данных в последовательном периферийном интерфейсе (Serial Peripheral Interface, SPI) датчиков отпечатков.

Эта брешь позволяет провести атаку вида «человек посередине» и получить доступ к образам отпечатков. Исследователи протестировали свой вектор на десяти популярных моделях смартфонов и смогли добиться неограниченного числа попыток аутентификации в ОС Android и HarmonyOS (Huawei).

В случае iOS эксперты смогли выбить себе десять дополнительных попыток входа.

Стоит отметить, что для осуществления BrutePrint злоумышленнику необходим физический доступ к целевому устройству. Потребуется также доступ к базе данных отпечатков пальцев и оборудование, которое можно приобрести за 15 долларов (1198 рублей).

Интересный результаты тестов: все подопытные смартфоны уязвимы как минимум к одному из описанных багов. Android-девайсы допускают бесконечное число попыток подбора отпечатка, у «яблочных» устройств всё несколько надёжнее.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 22 Октября 2025 - 20:28

Корпорации Государство Защита критически важных объектов Positive Technologies

Positive Technologies показала решение для защиты открытой АСУ ТП

Компания Positive Technologies представила кросс-платформенное решение по кибербезопасности для национальной открытой платформы промышленной автоматизации. Демонстрация прошла в Нижнем Новгороде на втором всероссийском форуме «Промышленная автоматизация: переход на открытую АСУ ТП».

Работа над проектом велась более трёх лет в рамках межотраслевой рабочей группы при Минпромторге России, в которую вошли представители энергетики, металлургии, нефтегаза, химической промышленности, поставщики оборудования и интеграторы.

Прототип открытой платформы АСУ ТП впервые показали на форуме ЦИПР летом 2025 года. Сейчас представлена её первая действующая версия, дополненная новыми программными и аппаратными компонентами российских разработчиков. Это позволило расширить число поддерживаемых технологических процессов и продемонстрировать возможности применения открытых стандартов в разных отраслях.

Заместитель министра промышленности и торговли РФ Василий Шпак отметил, что рынок систем промышленной автоматизации в России активно развивается, а сотрудничество компаний помогает вырабатывать единые подходы и стандарты. По его словам, отечественные технологии уже позволяют создавать конкурентоспособные решения, обеспечивающие независимость и безопасность предприятий.

На совместном стенде форума участники показали, как современные технологии позволяют строить гибкие и защищённые системы управления, сочетающие новые и уже существующие решения. В состав платформы входят программные контроллеры, SCADA-системы, шлюзы-конвертеры и встроенные средства кибербезопасности. Все элементы соответствуют принципам открытых АСУ ТП — совместимости, взаимозаменяемости и защищённости данных.

Руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский отметил, что представленная версия платформы уже готова к внедрению и включает поддержку цифровых двойников и имитационных моделей. Разработанное решение по кибербезопасности можно применять в кросс-платформенных системах автоматизации, использующих открытые протоколы и компоненты разных производителей.

BrutePrint: Android-смартфоны уязвимы к брутфорсу отпечатка пальца

Читайте также