ПолiтДумка

Эксперты разработали методы взлома приложений со сканером отпечатка пальцев

14 декабря
11:23 2020

Многие современные смартфоны имеют сканер отпечатков пальцев для авторизации доступа к устройству, входа в учетную запись, подтверждения платежей и других операций. Сканер предназначен для безопасной аутентификации, но исследователи обнаружили новые способы манипулировать им в злонамеренных целях. Исследователи безопасности из Китайского университета Гонконга и компании Sangfor Technologies представили технику атаки на основе пользовательского интерфейса, нацеленную на сканирование отпечатков пальцев в приложениях Android.

ИБ-специалисты рассказали на конференции Black Hat Europe о новой тактике «взлома отпечатков пальцев» (fingerprint-Jacking). По их словам, термин происходит от кликджекинга (clickjacking), поскольку этот тип атаки скрывает интерфейс вредоносного приложения под фальшивым покрытием.

В ходе демонстрации атаки специалист открыл на устройстве под управлением Android 10 приложение Magisk, позволяющее управлять программами с правами суперпользователя. Затем он запустил простое приложение-дневник, при просмотре которого появился интерфейс экрана блокировки. Отпечаток пальца использовался для разблокировки устройства, и пользователь был перенаправлен обратно в приложение дневника. Однако, когда приложение Magisk было повторно открыто, было продемонстрировано, что у приложения-дневника теперь есть права суперпользователя на устройстве.

«Цель этой атаки — обманом заставить пользователя авторизовать некоторые опасные действия, не заметив этого», — пояснили эксперты.

Исследователи разработали пять новых методов атаки, все из которых могут быть запущены из вредоносных приложений Android с нулевым разрешением. Некоторые из них могут обойти контрмеры, введенные в Android 9, а один эффективен против всех приложений, которые интегрируются с API отпечатков пальцев.

До версии Android 9 не было защиты на уровне системы, поэтому приложениям нужно было самостоятельно блокировать фоновый ввод отпечатков пальцев. Однако с помощью самого действенного метода атаки, который они обнаружили, исследователи смогли взломать средства защиты Android. Так называемая Race-атака использует поведение жизненного цикла, когда два действия запускаются в течение короткого периода времени, что позволяет провести взлом по отпечатку пальца. Команда сообщила об этой проблеме в Google и уязвимости присвоен идентификатор CVE-2020-27059.

Исследователи провели анализ 1630 приложений для Android, использующих API отпечатков пальцев, 347 (21,3%) из которых содержали различные проблемы реализации. Они протестировали атаки на некоторые популярные приложения, в ходе которых им удалось украсть деньги из платежного приложения с более чем 1 миллионом установок и получить права суперпользователя.

Источник: securitylab.ru


Warning: count(): Parameter must be an array or an object that implements Countable in /home/politdumkakiev/public_html/wp-content/themes/legatus-theme/includes/single/post-tags.php on line 5
Share

Статьи по теме

Последние новости

Материнскую компанию TikTok оценили в $300 миллиардов

Читать всю статью

Мы в соцсетях

Наши партнеры

UA.TODAY - Украина Сегодня UA.TODAY

EA-LOGISTIC: Международные грузоперевозки – всегда своевременно и надежно!