ப்ரூட்பிரிண்ட், ஆண்ட்ராய்டின் கைரேகை பாதுகாப்பு முறைகளைத் தவிர்க்க அனுமதிக்கும் தாக்குதல்

முரட்டு அச்சு

BrutePrint என்பது கைரேகை அங்கீகார முறையில் உள்ள குறைபாடுகளை பயன்படுத்திக் கொள்ளும் ஒரு புதிய தாக்குதல் முறையாகும்.

Si உங்கள் மொபைல் சாதனம் 100% பாதுகாப்பானது என்று நினைத்தீர்கள் அது உங்களுக்கு வழங்கும் பாதுகாப்பு அடுக்குகளில் ஏதேனும் ஒன்றைச் செயல்படுத்துவதன் மூலம், அதை நான் உங்களுக்குச் சொல்கிறேன் நீங்கள் முற்றிலும் தவறு மற்றும் ஆண்ட்ராய்டு விஷயத்தில், விஷயங்கள் மிகவும் மோசமாகின்றன.

ஆண்ட்ராய்டுக்கு, அதன் வெவ்வேறு பதிப்புகளில் பல்வேறு பிழைகள் உள்ளன, அவை திரைப் பூட்டைக் கடந்து செல்ல அனுமதிக்கின்றன, அந்த நேரத்தில் நன்கு அறியப்பட்ட ஒன்று, அதில் ஒரு சுடரை உருவாக்க போதுமானது மற்றும் அங்கிருந்து மெனுவை அணுக முடியும். அமைப்பு மற்றும் மீதமுள்ளவை வரலாறு.

என் கவனத்தை மிகவும் கவர்ந்த மற்றொரு முறை என்னவென்றால், சிம்மில் இருந்து பின் குறியீடு பாதுகாப்பைத் தவிர்ப்பது, இதன் மூலம் PUK குறியீட்டைக் கொண்ட சிம்மை மாற்றினால் போதும், அதன் பிறகு PIN 3 ஐ வைப்பது மட்டுமே தவறு. கார்டின் PUK குறியீட்டை உள்ளிடுவதன் மூலம் பின் குறியீடு தொடர்கிறது, அதன் பிறகு, ஒரு புதிய PIN தேர்வு செய்யப்பட்டு, தொலைபேசி தானாகவே முகப்புத் திரையைக் காண்பிக்கும்.

இதற்கு சில உதாரணங்களைச் சொன்னால் அது சமீபத்தில்தான் செய்தி வெளியிடப்பட்டது அதன் பிறகு, டென்சென்ட் மற்றும் ஜெஜியாங் பல்கலைக்கழக ஆராய்ச்சியாளர்கள் குழு "BrutePrint" என்ற தாக்குதல் நுட்பத்தை அறிமுகப்படுத்தியுள்ளது என்று ஆண்ட்ராய்டின் கைரேகை எதிர்ப்பு பாதுகாப்பு முறைகளைத் தவிர்க்கலாம்.

BrutePrint பற்றி

சாதாரண பயன்முறையில், கைரேகை தேர்வு வரம்பினால் தடைபடுகிறது முயற்சிகளின் எண்ணிக்கையில்: பல தோல்வியுற்ற திறத்தல் முயற்சிகளுக்குப் பிறகு, சாதனம் பயோமெட்ரிக் அங்கீகார முயற்சிகளை இடைநிறுத்துகிறது அல்லது கடவுச்சொல்லைக் கோருகிறது. முன்மொழியப்பட்ட தாக்குதல் முறையானது எல்லையற்ற மற்றும் கட்டுப்பாடற்ற தேர்வு சுழற்சியை ஒழுங்கமைக்க அனுமதிக்கிறது.

தாக்குதல் இணைக்கப்படாத இரண்டு பாதிப்புகளை நீங்கள் பயன்படுத்தலாம் SFA (ஸ்மார்ட்போன் கைரேகை அங்கீகாரம்), SPI நெறிமுறையின் போதுமான பாதுகாப்பு இல்லாததுடன் இணைந்து.

  • முதல் பாதிப்பு (CAMF, ரத்து-போட்டிக்குப் பிறகு-தோல்வி) தவறான செக்சம் அனுப்பப்பட்டால் என்ற உண்மைக்கு வழிவகுக்கிறது கைரேகை தரவிலிருந்து, சரிபார்ப்பு தோல்வியுற்ற முயற்சியை பதிவு செய்யாமல் இறுதி கட்டத்தில் மறுதொடக்கம் செய்யப்படுகிறது, ஆனால் முடிவை தீர்மானிக்கும் சாத்தியம் உள்ளது.
  • இரண்டாவது பாதிப்பு (தவறு, மேட்ச்-ஆஃப்டர்-லாக்) சரிபார்ப்பு முடிவைத் தீர்மானிக்க மூன்றாம் தரப்பு சேனல்களைப் பயன்படுத்த அனுமதிக்கிறது பயோமெட்ரிக் அங்கீகார அமைப்பு ஒரு குறிப்பிட்ட எண்ணிக்கையிலான தோல்வியுற்ற முயற்சிகளுக்குப் பிறகு தற்காலிக பூட்டு முறைக்கு மாறினால்.

இந்த பாதிப்புகள் கைரேகை சென்சார் மற்றும் TEE சிப்புக்கு இடையில் ஒரு சிறப்பு பலகையை இணைப்பதன் மூலம் அவற்றைப் பயன்படுத்தலாம் (Trusted Execution Environment) SPI (சீரியல் பெரிஃபெரல் இன்டர்ஃபேஸ்) பஸ் மூலம் அனுப்பப்படும் தரவைப் பாதுகாப்பதில் ஒரு குறைபாட்டை ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர், இது சென்சார் மற்றும் TEE க்கு இடையில் தரவு பரிமாற்ற சேனலில் நுழைவதை சாத்தியமாக்கியது மற்றும் கைரேகைகளை இடைமறிக்க ஏற்பாடு செய்தது. எடுக்கப்பட்டது மற்றும் உங்கள் சொந்த தரவுகளுடன் அவற்றை மாற்றுகிறது.

தேர்வை ஒழுங்குபடுத்துவதுடன், SPI வழியாக இணைப்பது, சென்சாருக்கான தளவமைப்பை உருவாக்காமல் பாதிக்கப்பட்டவரின் கைரேகையின் கிடைக்கக்கூடிய புகைப்படத்தைப் பயன்படுத்தி அங்கீகாரத்தை அனுமதிக்கிறது.

முயற்சிகளின் எண்ணிக்கை மீதான கட்டுப்பாடுகள் நீக்கப்பட்ட பிறகு, தேர்வுக்கு அகராதி முறை பயன்படுத்தப்பட்டது. கசிவுகளின் விளைவாக பகிரங்கப்படுத்தப்பட்ட கைரேகை படங்களின் சேகரிப்புகளின் பயன்பாட்டின் அடிப்படையில், எடுத்துக்காட்டாக, பயோமெட்ரிக் அங்கீகார தரவுத்தளங்கள் Antheus Tecnologia மற்றும் BioStar ஆகியவை ஒரு கட்டத்தில் சமரசம் செய்யப்பட்டன.

வெவ்வேறு கைரேகை படங்களுடன் பணிபுரியும் திறனை அதிகரிக்க மற்றும் தவறான அடையாளத்தின் (FAR, தவறான ஏற்பு விகிதம்) நிகழ்தகவை அதிகரிக்க, ஒரு நரம்பியல் நெட்வொர்க் பயன்படுத்தப்படுகிறது, இது சென்சார் வடிவத்துடன் பொருந்தக்கூடிய வடிவத்தில் கைரேகைகளுடன் ஒரு ஒருங்கிணைந்த தரவு ஸ்ட்ரீமை உருவாக்குகிறது (உருவகப்படுத்துதல் தரவு ஒரு சொந்த சென்சார் மூலம் ஸ்கேன் செய்யப்பட்டது).

தாக்குதலின் செயல்திறன் வெவ்வேறு உற்பத்தியாளர்களிடமிருந்து 10 ஆண்ட்ராய்டு சாதனங்களுக்கு நிரூபிக்கப்பட்டது (Samsung, Xiaomi, OnePlus, Vivo, OPPO, Huawei), அன்லாக் செய்ய கைரேகையைத் தேர்ந்தெடுக்க 40 நிமிடங்கள் முதல் 36 மணிநேரம் வரை எடுத்தது.

தாக்குதலுக்கு சாதனத்திற்கான உடல் அணுகல் மற்றும் போர்டுடன் சிறப்பு உபகரணங்களின் இணைப்பு தேவைப்படுகிறது, இது உற்பத்தி செய்ய மதிப்பிடப்பட்ட $15 செலவாகும். எடுத்துக்காட்டாக, கைப்பற்றப்பட்ட, திருடப்பட்ட அல்லது தொலைந்த தொலைபேசிகளைத் திறக்க இந்த முறையைப் பயன்படுத்தலாம்.

இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால், நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பில்.


கருத்து தெரிவிப்பதில் முதலில் இருங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.