Новости и события » Общество » Эксперты разработали методы взлома приложений со сканером отпечатка пальцев

Эксперты разработали методы взлома приложений со сканером отпечатка пальцев

Эксперты разработали методы взлома приложений со сканером отпечатка пальцев

Многие современные смартфоны имеют сканер отпечатков пальцев для авторизации доступа к устройству, входа в учетную запись, подтверждения платежей и других операций. Сканер предназначен для безопасной аутентификации, но исследователи обнаружили новые способы манипулировать им в злонамеренных целях. Исследователи безопасности из Китайского университета Гонконга и компании Sangfor Technologies представили технику атаки на основе пользовательского интерфейса, нацеленную на сканирование отпечатков пальцев в приложениях Android.

ИБ-специалисты рассказали на конференции Black Hat Europe о новой тактике "взлома отпечатков пальцев" (fingerprint-Jacking). По их словам, термин происходит от кликджекинга (clickjacking), поскольку этот тип атаки скрывает интерфейс вредоносного приложения под фальшивым покрытием.

В ходе демонстрации атаки специалист открыл на устройстве под управлением Android 10 приложение Magisk, позволяющее управлять программами с правами суперпользователя. Затем он запустил простое приложение-дневник, при просмотре которого появился интерфейс экрана блокировки. Отпечаток пальца использовался для разблокировки устройства, и пользователь был перенаправлен обратно в приложение дневника. Однако, когда приложение Magisk было повторно открыто, было продемонстрировано, что у приложения-дневника теперь есть права суперпользователя на устройстве.

"Цель этой атаки - обманом заставить пользователя авторизовать некоторые опасные действия, не заметив этого", - пояснили эксперты.

Исследователи разработали пять новых методов атаки, все из которых могут быть запущены из вредоносных приложений Android с нулевым разрешением. Некоторые из них могут обойти контрмеры, введенные в Android 9, а один эффективен против всех приложений, которые интегрируются с API отпечатков пальцев.

До версии Android 9 не было защиты на уровне системы, поэтому приложениям нужно было самостоятельно блокировать фоновый ввод отпечатков пальцев. Однако с помощью самого действенного метода атаки, который они обнаружили, исследователи смогли взломать средства защиты Android. Так называемая Race-атака использует поведение жизненного цикла, когда два действия запускаются в течение короткого периода времени, что позволяет провести взлом по отпечатку пальца. Команда сообщила об этой проблеме в Google и уязвимости присвоен идентификатор CVE-2020-27059.

Исследователи провели анализ 1630 приложений для Android, использующих API отпечатков пальцев, 347 (21,3%) из которых содержали различные проблемы реализации. Они протестировали атаки на некоторые популярные приложения, в ходе которых им удалось украсть деньги из платежного приложения с более чем 1 миллионом установок и получить права суперпользователя.

Android Университеты


Магія східної кухні: особливості та традиції

Магія східної кухні: особливості та традиції

Східна кухня відома різноманіттям ароматів та смаків. Вона заснована на глибоких традиціях, історії та має особливості приготування. Звички формувалися впродовж багатьох століть під впливом різних культур та географічних особливостей. Вони присутні в кожній...

вчера 15:32

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх