Commentaires : Ce gadget à 15 dollars est capable de berner le lecteur d'empreinte de nombreux mobiles Android

Des chercheurs en sécurité ont démontré que l’utilisation mal intentionnée d’un petit gadget à bas prix peut suffire à compromettre un lecteur d’empreinte digitale sur à peu près n’importe quel smartphone Android.

Merci de faire de la pub pour ce truc au cas où les truands ne l’auraient pas encore vu.

Merci pour le plans et indications, je m’attèle à la construction dès maintenant :rofl:

Ça sert majoritairement à fournir une raison supplémentaire aux utilisateurs de ne pas laisser traîner leur smartphone ou encore mieux de ne pas utiliser ses données biométriques pour s’identifier.

1 « J'aime »

Précision importante : il faut démonter l’écran, débrancher le capteur d’empreinte, puis brancher le gadget entre ce lecteur et la mobo du téléphone. Bref, avoir le tél démonté jusque plus d’une demi-journée. Pas très discret donc.

BrutePrint comprises of an STM32F412 microcontroller from STMicroelectronics, a bidirectional, dual-channel analog switch called RS2117, an SD card with 8GB of internal memory, and a connector that connects the smartphone’s motherboard to the circuit board of a fingerprint sensor. BrutePrint exploits a vulnerability in Android smartphones that allows for unlimited fingerprint guesses, with the device getting unlocked as soon as the closest match is found in the database.
[…]
Fortunately, those researchers believe that this security exploit can be mitigated in the operating system, as the individuals hope that its latest findings will encourage people to take careful measures to encrypt fingerprint data. Furthermore, these researchers state that such a security threat can be addressed if smartphone and fingerprint sensor manufacturers work together in a collective effort. Now all that remains is future Android

EDIT - dans les commentaires de l’article source, certaines se demandent si seulement Android 11 et plus anciens seraient touchés. Les téléphones testés avec succès seraient sous A8 à 11 (page 9 du pdf des chercheurs).


En fait les téls craqués ont un Android d’avant ou jusque septembre 2020. Les deux seuls iPhones testés ont un iOs de janvier 2021.

EDIT2 - j’ai enfin trouvé pourquoi il y avait des lignes continues et pointillées dans le graph de temps de crackage : ligne continue = le tél n’a qu’une emprunte enregistrée; ligne pointillée = le tél a toutes les empruntes possibles enregistrées (4 ou 5 selon le modèle) :
image

5 « J'aime »

Merci de faire de la pub pour ce truc au cas où les truands ne l’auraient pas encore vu.

Ne vous faites pas d’illusion, quand une info de ce genre arrive au niveau de Clubic, les hackers sont certainement au courant depuis belle lurette.

7 « J'aime »

Ca peut être utile dans le cadre d’une enquete policière par exemple.

Je n’y crois pas trop à leur boitié à 15 € qui déverrouille les mobiles alors que dans certaines enquêtes policières ils mettent des semaines voire des mois à déverrouiller un smartphone​:thinking::thinking::thinking:

1 « J'aime »

Pas besoin non plus d’en rajouter une couche et donner des idées à d’autres.

Comment font-ils pour essayer pendant 40 minutes ? Moi j’ai le problème inverse, si mon doigt n’est pas reconnu Android me force un autre mode de déverouillage.

1 « J'aime »

Pas besoin non plus d’en rajouter une couche et donner des idées à d’autres.

Ca se discute, car le danger de diffuser cette info dans le grand public est faible : son exploitation n’est pas à la portée de tous en plus d’être difficile à mettre en oeuvre pour des raisons simples d’accès à l’appareil.

Et celui qui a les compétences qu’il faut pour les exploiter, c’est qu’il suit déjà des sources d’information spécialisées sur la sécurité. Il n’aura pas besoin de clubic pour trouver ce genre d’idée.

Pour finir, il faut réaliser qu’il y a un grand bénéfice aussi à informer les victimes potentielles. De cette façon, elle comprennent qu’il ne faut pas accorder une confiance absolue aux sécurités.

2 « J'aime »

Ils ne visent que des téléphones sous Android 11. Le support des scanneurs d’empreinte sous écran n’est venu qu’avec Android 12 (et sa classe UdfpsControllerGoogle). Il est possible que sur ces téléphones, les images des empreintes soient stockées et gérées directement dans la puce du scanneur, et que l’O/S ne reçoive que le nombre d’essai. En branchant leur carte électronique entre le scanneur et la carte mère du téléphone, ils interceptent le résultat du scan, jusqu’à avoir générer une image acceptée.

EDIT - de leur PDF - ils endommagent le packet de données envoyant un résultat de scan invalide, afin qu’il soit ignoré par l’O/S :

We discover Cancel-After-Match-Fail (CAMF) and Match-After-Lock (MAL) vulnerabilities in SFA, and either of them can be exploited to bypass attempt limit. Instead of an implementation bug, CAMF and MAL leverage logical defects in the authentication framework. Therefore, it exists across various models and OSs. We make the exploitation on 10 popular smartphone models with the latest OS versions. Results show that attempts are made three times over the attempt limit on Touch ID while unlimited attempts are achieved on all Android devices. The unlimited attempts motivate us to perform automatic fingerprint brute-force attacks.

We find the insufficient protection of fingerprint data on the Serial Peripheral Interface (SPI) of fingerprint sensors, and thus come up with a hardware approach to do man-in-the-middle (MITM) attacks for fingerprint image hijacking

[…]
Section III / B Attack Overview
Typically, a CAMF eploitation invalidates the checksum of transmitted fingerprint data, and a MAL exploitation infers matching results through side-channel attacks.

[…]
Section IV
The brute-force attack is based on the infinite bypassing chances and the feasibility of fingerprint image hijacking. In general, to bypass attempt limit, CAMF exploits the widely accepted Multi-sampling and Error-cancel mechanisms while MAL leverages some careless implementation for improving user experience. Fingerprint image hijacking can be carried out since the fingerprint data on SPI is insecure (e.g., unencrypted). In this section, we broadly analyze popular SFA systems. We show the overall results in Section VI-A, discuss some detailed approaches and findings in Section VI-B, and estimate the success rate of BRUTEPRINT in Section VI-C.

2 « J'aime »

Sur les smartphone récents (notamment chez Samsung) le chiffrement de tout le stockage interne est systématique, à priori cette faille ne concerne donc que les anciens terminaux.

Pour mémoire, il est possible de chiffrer le stockage interne depuis Android 5.0 (sorti en 2014) donc pour ceux qui ne chiffrent pas encore leurs mobiles, vous savez ce qu’il vous reste à faire et ce conseil est valable même en dehors du contexte de l’exploitation de cette faille.

1 « J'aime »

au bout d’un certain nombre d’echecs il faudrait passer par la case mot de passe non?

Voir ma réponse juste au dessus : ils endommage le message indiquant une empreinte invalide afin qu’il soit ignoré par l’O/S.

Certes, les risques que ce procédé arrivent au commun des mortels est pour ainsi dire nul. Mais où se situe la limite de ce qui est déontologiquement publiable ? C’est là le fond du problème car le jour où une manipulation durant moins de 10 minutes va poindre le bout de son nez, ce n’est pas parce que cela paraît complexe à réaliser pour certains qu’il faut se permettre de donner des infos sur la méthode. Ce qui est compliqué pour certains paraît facile pour d’autres, même s’ils n’ont jamais procédé auparavant.
C’est comme ces reportages TV expliquant comment crocheter une portière de voiture.

A vrai dire je m’en fout un peu que Madame Michu sache qu’il lui faudrait BrutePrint et 15 heures de patience pour déverrouiller le smartphone de son mari infidèle, ce qui me gène le plus c’est le côté pvtaclic. On fait du sensationnalisme en « informant » sur une technique de piratage inutilisable dans les faits et en donnant des détails, et le même média va s’indigner de la recrudescence du piratage.

Ouf les iphones sont épargnés… Laissant ainsi plus de ressources humaine à apple pour combler les failles zero clic permettant à pegasus de les violer :+1:

tu veux pas bosser pour clubic ?

Ca ne paye probablement pas assez :stuck_out_tongue:

Les iphones se font peut être violer par Pégasus (un logiciel où il faut débourser plusieurs centaines de milliers d’euros pour une licence de quelques déverrouillages), Android se fait bukakke par un tas d’autres méthodes bien plus accessibles :sweat_smile: