{"id":21407,"date":"2023-06-21T16:35:28","date_gmt":"2023-06-21T19:35:28","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21407"},"modified":"2023-06-23T12:48:23","modified_gmt":"2023-06-23T15:48:23","slug":"fingerprint-brute-force-android","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/fingerprint-brute-force-android\/21407\/","title":{"rendered":"BrutePrint: ignorar a prote\u00e7\u00e3o de impress\u00e3o digital do smartphone"},"content":{"rendered":"

O reconhecimento de impress\u00e3o digital \u00e9 considerado um m\u00e9todo de autentica\u00e7\u00e3o bastante seguro. De vez em quando, h\u00e1 publica\u00e7\u00f5es sobre diferentes maneiras de enganar o sensor de impress\u00e3o digital<\/a>, mas, de uma forma ou de outra, todos os m\u00e9todos sugeridos se resumem \u00e0 imita\u00e7\u00e3o f\u00edsica do dedo do propriet\u00e1rio do telefone, usando uma almofada de silicone ou a impress\u00e3o de tinta condutora<\/a>. Isso envolve a obten\u00e7\u00e3o de uma imagem de alta qualidade de um dedo \u2014 n\u00e3o qualquer um, lembre-se, mas aquele registrado no sistema.<\/p>\n

Em resumo, todos esses m\u00e9todos t\u00eam muitos problemas do mundo real. Por\u00e9m, \u00e9 poss\u00edvel fazer isso de forma mais elegante, sem sair do mundo puramente digital e sem abdicar de todos os seus benef\u00edcios? Sim: recentemente, os pesquisadores chineses Yu Chen e Yiling He publicaram um estudo sobre como usar for\u00e7a bruta em quase qualquer smartphone Android protegido por impress\u00e3o digital. Eles chamaram o ataque de BrutePrint<\/a>.<\/p>\n

At\u00e9 que ponto as impress\u00f5es digitais s\u00e3o \u00fanicas?<\/h2>\n

Antes de come\u00e7armos a investigar o trabalho de nossos colegas chineses, vejamos a teoria por tr\u00e1s disso. Para come\u00e7ar, e como voc\u00ea deve saber, as impress\u00f5es digitais s\u00e3o realmente \u00fanicas e nunca mudam com o tempo.<\/p>\n

Em 1892, Sir Francis Galton, um cientista ingl\u00eas, publicou um trabalho laconicamente intitulado Finger Prints<\/a> (Impress\u00f5es digitais). Ele resumiu os dados cient\u00edficos da \u00e9poca sobre impress\u00f5es digitais. O trabalho de Galton lan\u00e7ou as bases te\u00f3ricas para o uso pr\u00e1tico posterior de impress\u00f5es digitais na ci\u00eancia forense.<\/p>\n

Entre outros itens, Sir Francis Galton calculou que a probabilidade de correspond\u00eancia de impress\u00f5es digitais era \u201cinferior a 2<sup>36<\/sup>, ou de um para cerca de sessenta e quatro mil milh\u00f5es\u201d. Os especialistas forenses mant\u00eam esse valor at\u00e9 hoje.<\/p>\n

A prop\u00f3sito, se voc\u00ea gosta de se aprofundar em anatomia ou nos fatores biol\u00f3gicos por tr\u00e1s da singularidade das impress\u00f5es digitais, aqui est\u00e1 um novo trabalho de pesquisa<\/a> sobre o assunto.<\/p>\n

Qual \u00e9 o grau de confiabilidade dos sensores de impress\u00e3o digital?<\/h2>\n

No entanto, o trabalho de Sir Francis e tudo o que resultou dele relaciona-se ao (caloroso) mundo anal\u00f3gico, abrangendo itens como a obten\u00e7\u00e3o de impress\u00f5es digitais e a compara\u00e7\u00e3o delas com as que foram deixadas na cena de um crime, por exemplo. Simples assim. Por\u00e9m, a (fria) realidade digital \u00e9 um pouco diferente. A qualidade da representa\u00e7\u00e3o da impress\u00e3o digital depende de v\u00e1rios fatores: tipo de sensor, tamanho e resolu\u00e7\u00e3o e, em grande parte, algoritmos de correspond\u00eancia e p\u00f3s-processamento de \u201cimagem\u201d.<\/p>\n

\"Compara\u00e7\u00e3o

Impress\u00f5es digitais como eram vistas por Sir Francis Galton h\u00e1 150 anos (\u00e0 esquerda) e pelo sensor \u00f3ptico de ponta do seu smartphone (\u00e0 direita). Fonte<\/a> e Fonte<\/a>.<\/p><\/div>\n

Claro, o desenvolvedor precisa tornar o dispositivo muito barato (ou ningu\u00e9m o comprar\u00e1), obter autentica\u00e7\u00e3o em fra\u00e7\u00f5es de segundo (ou ficar sobrecarregado com reclama\u00e7\u00f5es sobre a velocidade lenta) e evitar falsos negativos a todo custo (ou o usu\u00e1rio descartar\u00e1 tudo). O resultado s\u00e3o sistemas de autentica\u00e7\u00e3o n\u00e3o muito precisos.<\/p>\n

Portanto, quando se refere a sensores usados em smartphones, n\u00fameros muito menos otimistas s\u00e3o citados para a probabilidade de correspond\u00eancia de fragmentos de impress\u00f5es digitais do que os famosos 1 para 64 bilh\u00f5es. Por exemplo, a Apple estima a probabilidade do Touch ID<\/a> em 1 para 50.000. Portanto, pode-se supor que, para modelos de sensores econ\u00f4micos, a probabilidade diminuir\u00e1 ainda mais, em uma ou duas ordens.<\/p>\n

Isso nos leva de bilh\u00f5es para milhares. O que j\u00e1 est\u00e1 ao alcance da for\u00e7a bruta<\/a>. Assim, para obter o pr\u00eamio, o hacker potencial s\u00f3 precisa superar um obst\u00e1culo: o limite do n\u00famero de tentativas de reconhecimento da impress\u00e3o digital. Normalmente, apenas cinco s\u00e3o permitidas, seguidas por um per\u00edodo prolongado de bloqueio de autentica\u00e7\u00e3o da impress\u00e3o digital.<\/p>\n

Esse obst\u00e1culo pode ser superado? Em seu estudo, Yu Chen e Yiling He d\u00e3o uma resposta afirmativa.<\/p>\n

BrutePrint: preparar-se para invadir por meio de for\u00e7a bruta smartphones Android protegidos por impress\u00e3o digital<\/h2>\n

O m\u00e9todo do pesquisador \u00e9 baseado em uma falha na implementa\u00e7\u00e3o do sensor de impress\u00e3o digital gen\u00e9rico dos smartphones Android: nenhum dos modelos testados criptografou o canal de comunica\u00e7\u00e3o entre o sensor e o sistema. Isso cria a oportunidade para um ataque MITM<\/a> no sistema de autentica\u00e7\u00e3o: com um dispositivo conectado ao smartphone via porta SPI da placa-m\u00e3e, \u00e9 poss\u00edvel interceptar mensagens recebidas do sensor de impress\u00e3o digital e enviar suas pr\u00f3prias mensagens emulando o sensor de impress\u00e3o digital.<\/p>\n

Os pesquisadores criaram um dispositivo desse tipo (pseudossensor) e o complementaram com um gadget para clicar automaticamente na tela do sensor do smartphone. Assim, a parte do componente de hardware foi configurada para fornecer v\u00e1rias imagens de impress\u00f5es digitais a smartphones no modo autom\u00e1tico.<\/p>\n

\"Dispositivo

Dispositivo para invadir por meio de for\u00e7a bruta o sistema de autentica\u00e7\u00e3o de impress\u00e3o digital. Fonte<\/a><\/p><\/div>\n

Em seguida, eles come\u00e7aram a preparar esp\u00e9cimes de impress\u00f5es digitais para for\u00e7a bruta. Os pesquisadores n\u00e3o revelam a fonte de seu banco de dados de impress\u00f5es digitais, limitando-se a especula\u00e7\u00f5es gerais sobre como os invasores podem obt\u00ea-lo (cole\u00e7\u00f5es de pesquisa, dados vazados ou banco de dados pr\u00f3prio).<\/p>\n

Como pr\u00f3ximo passo, o banco de dados de impress\u00f5es digitais foi submetido a uma IA para gerar algo como um dicion\u00e1rio de impress\u00f5es digitais, a fim de maximizar o desempenho da for\u00e7a bruta. As imagens de impress\u00f5es digitais foram adaptadas pela IA para corresponder \u00e0s geradas pelos sensores instalados nos smartphones participantes do estudo.<\/p>\n

\"Exemplos

As imagens retornadas por diferentes tipos de sensores de impress\u00e3o digital s\u00e3o bastante diferentes umas das outras. Fonte<\/a><\/p><\/div>\n

As duas vulnerabilidades por tr\u00e1s do BrutePrint: Cancel-After-Match-Fail e Match-After-Lock<\/h2>\n

O ataque BrutePrint explora duas vulnerabilidades. Os pesquisadores as descobriram na l\u00f3gica b\u00e1sica da estrutura de autentica\u00e7\u00e3o de impress\u00e3o digital que, aparentemente, vem com todos os smartphones Android, sem exce\u00e7\u00e3o. As vulnerabilidades foram chamadas de Cancel-After-Match-Fail (Cancelar ap\u00f3s falha na correspond\u00eancia) e Match-After-Lock (Correspond\u00eancia ap\u00f3s bloqueio).<\/p>\n

A vulnerabilidade Cancel-After-Match-Fail<\/h3>\n

Cancel-After-Match-Fail (CAMF)<\/strong> explora dois recursos importantes do mecanismo de autentica\u00e7\u00e3o de impress\u00e3o digital. O primeiro \u00e9 o fato de que ele se baseia em multiamostragem, o que significa que cada tentativa de autentica\u00e7\u00e3o usa n\u00e3o apenas uma, mas uma s\u00e9rie de duas a quatro imagens de impress\u00f5es digitais (dependendo do modelo do smartphone). O segundo \u00e9 o fato de que, al\u00e9m de falhar<\/em>, uma tentativa de autentica\u00e7\u00e3o tamb\u00e9m pode resultar em erro<\/em> e, nesse caso, h\u00e1 um retorno ao in\u00edcio.<\/p>\n

Isso permite o envio de uma s\u00e9rie de imagens terminando em um quadro pr\u00e9-editado para acionar um erro. Assim, se uma das imagens da s\u00e9rie acionar uma correspond\u00eancia, ocorrer\u00e1 uma autentica\u00e7\u00e3o bem-sucedida. Caso contr\u00e1rio, o ciclo terminar\u00e1 em erro, ap\u00f3s o qual uma nova s\u00e9rie de imagens poder\u00e1 ser enviada sem desperdi\u00e7ar a preciosa tentativa.<\/p>\n

\"Diagrama

Como Cancel-After-Match-Fail funciona: o erro leva voc\u00ea de volta ao ponto de partida sem desperdi\u00e7ar uma tentativa. Fonte<\/a><\/p><\/div>\n

A vulnerabilidade Match-After-Lock<\/h3>\n

A segunda vulnerabilidade \u00e9 Match-After-Lock (MAL)<\/strong>. A l\u00f3gica de autentica\u00e7\u00e3o de impress\u00e3o digital fornece um per\u00edodo de bloqueio ap\u00f3s uma tentativa malsucedida, mas muitos fornecedores de smartphones n\u00e3o implementam corretamente esse recurso em suas vers\u00f5es do Android. Portanto, embora a autentica\u00e7\u00e3o de impress\u00e3o digital bem-sucedida n\u00e3o seja poss\u00edvel no modo de bloqueio, ainda \u00e9 poss\u00edvel enviar mais e mais imagens novas, \u00e0s quais o sistema ainda responder\u00e1 com uma resposta honesta indicando \u2018verdadeiro\u2019 ou \u2018falso\u2019. Ou seja, uma vez detectada a imagem correta, voc\u00ea poder\u00e1 us\u00e1-la assim que o sistema estiver fora do bloqueio, concluindo assim uma autentica\u00e7\u00e3o bem-sucedida.<\/p>\n

Ataques que exploram Cancel-After-Match-Fail e Match-After-Lock<\/h2>\n

O ataque que explora a primeira vulnerabilidade foi bem-sucedido em todos os smartphones testados com o Android genu\u00edno integrado, mas, por algum motivo, n\u00e3o funcionou com o HarmonyOS.<\/a> A vulnerabilidade Match-After-Lock foi explorada em smartphones vivo e Xiaomi, bem como em ambos os telefones Huawei que executam o HarmonyOS.<\/p>\n

\"Tabela

Todos os smartphones testados mostraram-se vulner\u00e1veis a pelo menos um ataque. Fonte<\/a><\/p><\/div>\n

Todos os smartphones Android e HarmonyOS participantes do estudo foram considerados vulner\u00e1veis a pelo menos um dos ataques descritos. Isso significa que todos eles permitiram um n\u00famero indefinido de tentativas mal-intencionadas de autentica\u00e7\u00e3o de impress\u00e3o digital.<\/p>\n

De acordo com o estudo, foram necess\u00e1rias de 2,9 a 13,9 horas para invadir por hack um sistema de autentica\u00e7\u00e3o de smartphone Android com apenas uma impress\u00e3o digital registrada. Por\u00e9m, para smartphones com o m\u00e1ximo poss\u00edvel de impress\u00f5es digitais registradas para determinado modelo (quatro para Samsung, cinco para todos os demais), o tempo foi bastante reduzido: foram necess\u00e1rias de 0,66 a 2,78 horas para invadi-los por hack.<\/p>\n

\"Tempo

Probabilidade de ataque BrutePrint bem-sucedido em fun\u00e7\u00e3o do tempo gasto: uma impress\u00e3o digital registrada (linha s\u00f3lida) e o n\u00famero m\u00e1ximo de impress\u00f5es digitais registradas (linha tracejada). Fonte<\/a><\/p><\/div>\n

E os iPhones?<\/h2>\n

O sistema Touch ID usado nos iPhones se mostrou mais resistente ao BrutePrint. Segundo o estudo, a principal vantagem do iPhone \u00e9 que a comunica\u00e7\u00e3o entre o sensor de impress\u00e3o digital e o restante do sistema \u00e9 criptografada. Portanto, n\u00e3o h\u00e1 como interceptar ou fornecer ao sistema uma impress\u00e3o digital preparada em um dispositivo equipado com Touch ID.<\/p>\n

O estudo aponta que os iPhones podem ser parcialmente vulner\u00e1veis a manipula\u00e7\u00f5es usadas para maximizar o n\u00famero de poss\u00edveis tentativas de reconhecimento de impress\u00f5es digitais. No entanto, n\u00e3o \u00e9 t\u00e3o ruim quanto parece: enquanto os smartphones Android permitem tentativas ilimitadas, nos iPhones, o n\u00famero de tentativas s\u00f3 pode ser aumentado de 5 para 15.<\/p>\n

Assim, os usu\u00e1rios do iOS podem ficar tranquilos: o Touch ID \u00e9 muito mais confi\u00e1vel do que a autentica\u00e7\u00e3o de impress\u00e3o digital usada no Android e no HarmonyOS. Al\u00e9m disso, hoje em dia a maioria dos modelos de iPhone usa o Face ID, de qualquer forma.<\/p>\n

At\u00e9 que ponto tudo isso \u00e9 perigoso?<\/h2>\n

Os propriet\u00e1rios de smartphones Android tamb\u00e9m n\u00e3o devem se preocupar muito com o BrutePrint: na pr\u00e1tica, o ataque dificilmente representa uma grande amea\u00e7a. H\u00e1 v\u00e1rias raz\u00f5es para isso:<\/p>\n