Android akıllı telefonlar, yazılımsal temelden dolayı sık sık çok sayıda güvenlik açığı ile gündeme geliyor. Bu sefer donanımsal bir süreç karşımızda.
Android akıllı telefonlar için genelde Play Store merkezli uygulama riskleri gündeme geliyor. Ancak Android’in açık yapısı başka sorunlar da ortaya çıkarıyor. Örneğin BrutePrint adı verilen yeni bir saldırı yöntemi, Android telefonlar üzerinde sınırsız parmak izi denemesine olanak tanıyan bir güvenlik açığından yararlanıyor. Bu saldırı için ilk olarak telefonlara fiziksel olarak erişim gerekiyor. Daha sonra ise sadece 15 dolarlık, yukarıda görebileceğiniz donanımlara ihtiyaç bulunuyor. Bu iki koşul sağlandıktan sonra telefonların yerleşik parmak izi sensörüne saldırı başlıyor. Hazırlanan altyapı, bir parmak izi veri tabanından yararlanıyor ve telefonların kilidini çok sayıda deneme ile geçmeye çalışıyor. Aktarıldığı kadarıyla tam eşleşme gerektiren parolaların aksine, parmak izi kimlik doğrulaması referans eşiği kullanarak bir eşleşme belirliyor. Bu nedenle parmak izi kilidini aşmak için veri tabanında yer alan başka bir parmak izine yeterince yakın bir eşleşme bulmak yeterli oluyor.
İLGİNİZİ ÇEKEBİLİR
Bu saldırı yöntemini bulan güvenlik araştırmacıları, testleri Xiaomi Mi 11 Ultra, vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10 Plus, OnePlus 5T, Huawei Mate 30 Pro 5G, Huawei P40, iPhone SE ve iPhone 7 üzerinde gerçekleştirdiklerini açıklıyor. Araştırmacılara göre yukarıda listelenen telefonlardaki parmak izini aşmak 40 dakika ile 14 saat arasında değişmiş. Sistem iPhone’lar üzerinde ise çalışmamış. Bunun nedeni iOS işletim sistemini verileri şifrelemesi, Android’in ise şifrelememesi olarak gösteriliyor. BrutePrint’in arkasındaki isimler, bu ciddi tehdidi azaltmanın akıllı telefon üreticileri ve parmak izi sensörü üreticileri arasında ortak bir çaba gerektirdiğini söylüyor, süreci engellemek adına Android işletim sisteminde de bazı şeylerin yapılabileceğini belirtiyor.
