Des chercheurs de Tencent Labs et de l’Université du Zhejiang ont présenté une nouvelle attaque appelée « BrutePrint », qui force brutalement les empreintes digitales sur les smartphones modernes pour contourner l’authentification de l’utilisateur et prendre le contrôle de l’appareil.
Les attaques par force brute reposent sur de nombreuses tentatives d’essais et d’erreurs pour déchiffrer un code, une clé ou un mot de passe et obtenir un accès non autorisé à des comptes, des systèmes ou des réseaux.
Les chercheurs chinois ont réussi à surmonter les protections existantes sur les smartphones, comme les limites de tentative et la détection de la vivacité qui protègent contre les attaques par force brute, en exploitant ce qu’ils prétendent être deux vulnérabilités du jour zéro, à savoir Cancel-After-Match-Fail (CAMF) et Match -Après verrouillage (MAL).
Les auteurs de l’article technique publié sur Arxiv.org ont également constaté que les données biométriques sur l’interface périphérique série (SPI) des capteurs d’empreintes digitales n’étaient pas suffisamment protégées, ce qui permettait à une attaque de l’homme du milieu (MITM) de détourner des images d’empreintes digitales.
Les attaques BrutePrint et SPI MITM ont été testées sur dix modèles de smartphones populaires, réalisant des tentatives illimitées sur tous les appareils Android et HarmonyOS (Huawei) et dix tentatives supplémentaires sur les appareils iOS.
Comment fonctionne BrutePrint
L’idée de BrutePrint est d’effectuer un nombre illimité de soumissions d’images d’empreintes digitales à l’appareil cible jusqu’à ce que l’empreinte digitale définie par l’utilisateur corresponde.
L’attaquant a besoin d’un accès physique à l’appareil cible pour lancer une attaque BrutePrint, d’un accès à une base de données d’empreintes digitales pouvant être acquise à partir d’ensembles de données académiques ou de fuites de données biométriques, et de l’équipement nécessaire, qui coûte environ 15 $.
Contrairement au fonctionnement du piratage de mot de passe, les correspondances d’empreintes digitales utilisent un seuil de référence au lieu d’une valeur spécifique, de sorte que les attaquants peuvent manipuler le taux de fausse acceptation (FAR) pour augmenter le seuil d’acceptation et créer des correspondances plus facilement.
BrutePrint se situe entre le capteur d’empreintes digitales et le Trusted Execution Environment (TEE) et exploite la faille CAMF pour manipuler les mécanismes d’échantillonnage multiple et d’annulation d’erreurs de l’authentification par empreintes digitales sur les smartphones.
CAMF injecte une erreur de somme de contrôle dans les données d’empreintes digitales pour arrêter le processus d’authentification à un stade prématuré. Cela permet aux attaquants d’essayer les empreintes digitales sur l’appareil cible alors que ses systèmes de protection n’enregistreront pas les tentatives infructueuses, leur donnant ainsi des essais infinis.
La faille MAL permet aux attaquants de déduire les résultats d’authentification des images d’empreintes digitales qu’ils essaient sur l’appareil cible, même si ce dernier est en « mode de verrouillage ».
Le mode verrouillage est un système de protection activé après un certain nombre de tentatives de déverrouillage consécutives infructueuses. Pendant le « timeout » de verrouillage, l’appareil ne devrait pas accepter les tentatives de déverrouillage, mais MAL permet de contourner cette restriction.
Le dernier composant de l’attaque BrutePrint utilise un système de « transfert de style neuronal » pour transformer toutes les images d’empreintes digitales dans la base de données afin qu’elles ressemblent au capteur de l’appareil cible qui les a numérisées. Cela rend les images valides et a donc de meilleures chances de succès.
Tests sur appareils
Les chercheurs ont mené des expériences sur dix appareils Android et iOS et ont découvert que tous étaient vulnérables à au moins un défaut.
Les appareils Android testés permettent des essais d’empreintes digitales infinis, donc forcer brutalement l’empreinte digitale de l’utilisateur et déverrouiller l’appareil est pratiquement possible avec suffisamment de temps.
Sur iOS, cependant, la sécurité de l’authentification est beaucoup plus robuste, empêchant efficacement les attaques par force brute.
Bien que les chercheurs aient découvert que l’iPhone SE et l’iPhone 7 sont vulnérables au CAMF, ils ne pouvaient augmenter le nombre d’essais d’empreintes digitales qu’à 15, ce qui n’est pas suffisant pour forcer brutalement l’empreinte digitale du propriétaire.
En ce qui concerne l’attaque SPI MITM qui consiste à détourner l’image de l’empreinte digitale de l’utilisateur, tous les appareils Android testés y sont vulnérables, tandis que les iPhones sont à nouveau résistants.
Les chercheurs expliquent que l’iPhone crypte les données d’empreintes digitales sur le SPI, donc toute interception a peu de valeur dans le contexte de l’attaque.
En résumé, les expériences menées ont montré que le temps nécessaire pour terminer BrutePrint avec succès sur des appareils vulnérables se situe entre 2,9 et 13,9 heures lorsque l’utilisateur a enregistré une empreinte digitale.
Lorsque plusieurs empreintes digitales sont inscrites sur l’appareil cible, le temps de force brute tombe à seulement 0,66 à 2,78 heures, car la probabilité de produire des images correspondantes augmente de façon exponentielle.
Conclusion
À première vue, BrutePrint peut ne pas sembler être une attaque redoutable car elle nécessite un accès prolongé à l’appareil cible. Cependant, cette limitation perçue ne devrait pas nuire à sa valeur pour les voleurs et les forces de l’ordre.
Le premier permettrait aux criminels de déverrouiller des appareils volés et d’extraire librement des données privées précieuses.
Ce dernier scénario soulève des questions sur les droits à la vie privée et l’éthique de l’utilisation de ces techniques pour contourner la sécurité des appareils pendant les enquêtes.
Cela constitue une violation des droits dans certaines juridictions et pourrait porter atteinte à la sécurité de certaines personnes vivant dans des pays oppressifs.