Biometria no celular: pesquisadores descobrem grave falha da função no Android
O novo ataque, chamado BrutePrint, tem capacidade de invadir celulares, ignorando a biometria.
Com a modernização e o avanço tecnológico, os dados pessoais da humanidade passaram a estar dispostos em meios digitais. Com isso, a alta de casos em que hackers roubam informações e vazam para o público se tornou uma preocupação para as empresas produtoras de aparelhos celulares, por exemplo.
Uma estratégia utilizada para restringir o acesso físico a esses dispositivos foi utilizar uma autenticação de usuário por impressão digital. Isso já está presente em quase todos os smartphones e é amplamente usado.
Porém, podemos confiar totalmente nesse tipo de segurança? Será mesmo que não há como burlar esse sistema? É isso que pesquisadores chineses quiseram responder.
Pesquisadores burlam autenticação biométrica do Android
Os usuários de Android não vão gostar de saber que a segurança de seus dispositivos pode estar em risco. Mesmo com a confiança que os métodos de proteção desses aparelhos trazem, ainda é necessário tomar cuidado, já que uma nova descoberta pode mudar completamente nossa visão.
Pesquisadores da Universidade de Zhejiang, na China, juntamente com o Tencent Labs, que pertence à maior produtora de jogos do mundo, descobriram um novo tipo de ataque de força bruta aos smartphones Android.
O ataque, conhecido como “BrutePrint”, é capaz de ignorar as permissões dos usuários concedidas pelo fornecimento da biometria e invadir os sistemas do aparelho, causando enormes danos aos consumidores.
Como a descoberta foi realizada?
Os pesquisadores encontraram algumas falhas em dois sistemas de proteção do Android: o CAMF (“Cancelar-Após-Falha-de-Correspondência”) e o EVIL (“Correspondência-Após-Bloqueio”). Com isso, eles descobriram que os dados de nossa impressão digital ficam guardados em uma “interface periférica serial” (SPI).
O SPI faz uma troca de informações entre dispositivos para fornecer informações sobre a biometria e autenticar a entrada do usuário. Porém, dessa forma, o aparelho fica exposto a um tipo de ataque, chamado “Man-in-the-Middle” (MITM), que é basicamente a interceptação por um agente externo nos dados trocados entre os dispositivos.
Os nossos celulares possuem uma “taxa de aceitação falsa” (FAR) que permite uma correspondência de digital mesmo com alguma pequena falha. Tudo que os ladrões precisam é alterar essa taxa, aumentando a aceitação e facilitando que alguma impressão corresponda.
Isso só pode ocorrer caso os hackers tenham acesso físico ao telefone. Além disso, é preciso um banco de dados de biometrias, o que não é muito difícil de se encontrar, e também é necessário um aparelho que custa de US$ 15 a R$ 75.
E quanto aos iOS?
Bem, esses também estão suscetíveis a esses erros, porém, segundo os analistas do estudo, os aparelhos com iOS puderam resistir um pouco mais ao ataque. Mas de qualquer forma, ainda é possível hackear esses aparelhos utilizando o BrutePrint.
Esse ataque é capaz, inclusive, de alterar as configurações do telefone para aceitar quantas tentativas os ladrões quiserem, sem o bloqueio permanente.