Kinesiska forskare hos universitetet i Zhejiang och företaget Tencent har upptäckt en ny säkerhetsrisk hos Android-mobiler. Det rör sig om en ”brute force”-attack mot Android-mobilers fingeravtrycksläsare, som utnyttjar två sårbarheter i operativsystemet för att kringgå det vanliga antalet försök som tillåts när du försöker låsa upp mobilen med fingeravtryck.
Den nya attacken har döpts till ”Bruteprint”, och genom att ställa sig mellan mobilens fingeravtrycksläsare och funktionen som verifierar försöket får angriparen ett oändligt antal försök på sig att låsa upp mobilen. För att bryta sig in i en mobil behöver angriparen utrustning för cirka 150 kronor, tillgång till en fingeravtrycksdatabas, som går att få via bland annat akademiska resurser eller läckta källor, samt tid med telefonen de försöker bryta sig in i. Det tog mellan 3 och 14 timmar för forskarlaget att bryta sig in i de telefoner de genomförde experiment på.
Testerna genomfördes på ett antal Android-mobiler, samt några Iphone. På samtliga Android-enheter lyckades Bruteprint kringgå restriktionerna kring antalet försök och skulle givet tillräcklig tid därför kunna ta sig in i samtliga enheter. På Iphone fungerade attacken inte helt, med Bruteprint lyckades forskarna få till sig endast 15 försök att få rätt fingeravtryck.
Du behöver alltså inte oroa dig för Bruteprint om din mobil inte blivit stulen eller lämnad utan uppsyn i suspekta miljöer under längre tid, eller om du helt enkelt använder en Iphone.
Sårbarheten väcker frågor om integritetsskydd. Det har varit svårt för bland annat polisen och andra myndigheter att ta sig in i låsta mobiler, något de nu med Bruteprint kommer ha möjlighet att göra.
Vill du veta mer om Bruteprint kan du antingen läsa Bleeping Computers utförliga artikel om angreppet, eller det kinesiska forskarlagets rapport.