BrutePrint হল একটি নতুন আক্রমণ পদ্ধতি যা ফিঙ্গারপ্রিন্ট প্রমাণীকরণ পদ্ধতির ত্রুটিগুলিকে কাজে লাগায়।
Si আপনি ভেবেছিলেন আপনার মোবাইল ডিভাইসটি 100% সুরক্ষিত সুরক্ষার যে কোনও স্তর প্রয়োগ করে এটি আপনাকে অফার করে, আমাকে তা বলতে দিন আপনি সম্পূর্ণ ভুল এবং অ্যান্ড্রয়েডের ক্ষেত্রে, জিনিসগুলি আরও খারাপ হয়ে যায়।
এবং এটি হল যে অ্যান্ড্রয়েডের জন্য, এর বিভিন্ন সংস্করণ জুড়ে বিভিন্ন বাগ রয়েছে যা স্ক্রিন লকটিকে বাইপাস করার অনুমতি দেয়, সেই সময়ের সবচেয়ে পরিচিত একটি ছিল যেখানে এটি কেবল একটি শিখা তৈরি করার জন্য যথেষ্ট ছিল এবং সেখান থেকে মেনুটি অ্যাক্সেস করতে সক্ষম হয়েছিল। সেটআপ এবং বাকি ইতিহাস.
আরেকটি পদ্ধতি যা আমার মনোযোগ আকর্ষণ করেছিল তা হল সিম থেকে পিন কোড সুরক্ষা বাইপাস করতে সক্ষম হওয়া, যার সাহায্যে PUK কোড রয়েছে এমন একটির জন্য সিম পরিবর্তন করা যথেষ্ট, তারপরে পিন 3 স্থাপন করা ভুল ছিল। বার। কার্ডের PUK কোড প্রবেশ করে পিন কোড চলতে থাকে এবং তার পরে, একটি নতুন পিন বেছে নেওয়া হয় এবং ফোন স্বয়ংক্রিয়ভাবে হোম স্ক্রীন প্রদর্শন করে।
এর কিছু উদাহরণ দিতে গিয়ে বাস্তবতা হলো সম্প্রতি ড খবর প্রকাশিত হয়েছিল এর পরে, টেনসেন্ট এবং ঝেজিয়াং বিশ্ববিদ্যালয়ের গবেষকদের একটি দল "ব্রুটপ্রিন্ট" নামে একটি আক্রমণ কৌশল চালু করেছে Que অ্যান্ড্রয়েডের অ্যান্টি-ফিঙ্গারপ্রিন্ট সুরক্ষা পদ্ধতিগুলিকে বাইপাস করতে পারে৷
ব্রুটপ্রিন্ট সম্পর্কে
সাধারণ মোডে, আঙুলের ছাপ নির্বাচন একটি সীমা দ্বারা বাধাপ্রাপ্ত হয় প্রচেষ্টার সংখ্যায়: বেশ কয়েকটি ব্যর্থ আনলক প্রচেষ্টার পরে, ডিভাইসটি বায়োমেট্রিক প্রমাণীকরণ প্রচেষ্টা স্থগিত করে বা একটি পাসওয়ার্ড অনুরোধ করতে এগিয়ে যায়। প্রস্তাবিত আক্রমণ পদ্ধতি একটি অসীম এবং অনিয়ন্ত্রিত নির্বাচন চক্র সংগঠিত করার অনুমতি দেয়।
আক্রমণ আপনি দুটি আনপ্যাচড দুর্বলতা ব্যবহার করতে পারেন SFA (স্মার্টফোন ফিঙ্গারপ্রিন্ট প্রমাণীকরণ), SPI প্রোটোকলের পর্যাপ্ত সুরক্ষার অভাবের সাথে মিলিত।
- প্রথম দুর্বলতা (CAMF, বাতিল-পর-ম্যাচ-ব্যর্থ) একটি ভুল চেকসাম প্রেরণ করা হলে এই সত্যের দিকে পরিচালিত করে ফিঙ্গারপ্রিন্ট ডেটা থেকে, যাচাইকরণটি একটি ব্যর্থ প্রচেষ্টা রেকর্ড না করেই চূড়ান্ত পর্যায়ে পুনরায় আরম্ভ করা হয়, কিন্তু ফলাফল নির্ধারণের সম্ভাবনা সহ।
- দ্বিতীয় দুর্বলতা (ভুল, ম্যাচ-আফটার-লক) যাচাইকরণের ফলাফল নির্ধারণ করতে তৃতীয় পক্ষের চ্যানেল ব্যবহার করার অনুমতি দেয় যদি বায়োমেট্রিক প্রমাণীকরণ সিস্টেম নির্দিষ্ট সংখ্যক ব্যর্থ প্রচেষ্টার পরে অস্থায়ী লক মোডে স্যুইচ করে।
এই দুর্বলতাগুলি ফিঙ্গারপ্রিন্ট সেন্সর এবং TEE চিপের মধ্যে একটি বিশেষ বোর্ড সংযুক্ত করে তাদের ব্যবহার করা যেতে পারে (ট্রাস্টেড এক্সিকিউশন এনভায়রনমেন্ট)। গবেষকরা এসপিআই (সিরিয়াল পেরিফেরাল ইন্টারফেস) বাসের মাধ্যমে প্রেরিত ডেটা সুরক্ষার সংস্থায় একটি ত্রুটি চিহ্নিত করেছেন, যা সেন্সর এবং টিইই-এর মধ্যে ডেটা ট্রান্সমিশন চ্যানেলে প্রবেশ করা এবং আঙ্গুলের ছাপগুলির বাধা সংগঠিত করা সম্ভব করেছে। নেওয়া এবং আপনার নিজের ডেটা দিয়ে তাদের প্রতিস্থাপন।
নির্বাচন অর্কেস্ট্রেট করার পাশাপাশি, SPI এর মাধ্যমে সংযোগ সেন্সরের জন্য তাদের লেআউট তৈরি না করেই শিকারের আঙ্গুলের ছাপের উপলব্ধ ফটো ব্যবহার করে প্রমাণীকরণের অনুমতি দেয়।
প্রচেষ্টার সংখ্যার উপর বিধিনিষেধ সরানোর পরে, একটি অভিধান পদ্ধতি নির্বাচনের জন্য ব্যবহার করা হয়েছিল, আঙ্গুলের ছাপ চিত্রগুলির সংগ্রহের ব্যবহারের উপর ভিত্তি করে যা ফাঁসের ফলে সর্বজনীন করা হয়েছিল, উদাহরণস্বরূপ, বায়োমেট্রিক প্রমাণীকরণ ডেটাবেস Antheus Tecnologia এবং BioStar, যা এক পর্যায়ে আপস করা হয়েছিল।
বিভিন্ন ফিঙ্গারপ্রিন্ট ইমেজের সাথে কাজ করার দক্ষতা বাড়াতে এবং মিথ্যা শনাক্তকরণের সম্ভাবনা (এফএআর, মিথ্যা গ্রহণযোগ্যতা হার) বাড়ানোর জন্য, একটি নিউরাল নেটওয়ার্ক ব্যবহার করা হয় যা সেন্সর বিন্যাসের সাথে মেলে এমন একটি বিন্যাসে আঙ্গুলের ছাপ সহ একটি ইউনিফাইড ডেটা স্ট্রিম গঠন করে (সিমুলেশন যেটি একটি নেটিভ সেন্সর দ্বারা ডেটা স্ক্যান করা হয়েছিল)।
আক্রমণের কার্যকারিতা বিভিন্ন নির্মাতাদের থেকে 10টি অ্যান্ড্রয়েড ডিভাইসের জন্য প্রদর্শিত হয়েছিল (Samsung, Xiaomi, OnePlus, Vivo, OPPO, Huawei), যা আনলক করতে একটি আঙ্গুলের ছাপ নির্বাচন করতে 40 মিনিট থেকে 36 ঘন্টা সময় নেয়৷
আক্রমণের জন্য ডিভাইসটিতে শারীরিক অ্যাক্সেস এবং বোর্ডের সাথে বিশেষ সরঞ্জামের সংযোগ প্রয়োজন, যা তৈরি করতে আনুমানিক $15 খরচ হয়। উদাহরণস্বরূপ, পদ্ধতিটি জব্দ করা, চুরি করা বা হারিয়ে যাওয়া ফোন আনলক করতে ব্যবহার করা যেতে পারে।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি বিশদ পরীক্ষা করতে পারেন নীচের লিঙ্কে।