“आप विश्वास नहीं करेंगे कि Android फ़िंगरप्रिंट लॉक को हैक करना कितना आसान है – इन जीनियस शोधकर्ताओं को धन्यवाद!” – सार्क टैंक

ब्रूट-फोर्स अटैक से एंड्रॉइड फिंगरप्रिंट लॉक को बायपास किया जा सकता है, चीनी शोधकर्ताओं का कहना है

एक चौंकाने वाली खोज में, टेनसेंट लैब्स और झेजियांग यूनिवर्सिटी के शोधकर्ताओं ने ब्रूट-फोर्स अटैक का उपयोग करके एंड्रॉइड स्मार्टफोन पर फिंगरप्रिंट लॉक को बायपास करने का एक तरीका खोजा है। इसका मतलब यह है कि अगर कोई एंड्रॉइड फोन खो जाता है या चोरी हो जाता है, तो उसके संवेदनशील डेटा को आसानी से एक्सेस किया जा सकता है, भले ही उसे फिंगरप्रिंट से लॉक किया गया हो।

ब्रूट-फोर्स अटैक कैसे काम करता है

ब्रूट-फोर्स अटैक तब होता है जब एक पासवर्ड, कोड, या सुरक्षा सुरक्षा के किसी अन्य रूप को खोजने के लिए बड़ी संख्या में प्रयास किए जाते हैं। क्रूर-बल के हमलों से बचाने के लिए, एंड्रॉइड फोन में आमतौर पर सुरक्षा उपाय होते हैं जैसे उपयोगकर्ता द्वारा किए जा सकने वाले प्रयासों की संख्या को सीमित करना, साथ ही साथ जीवंतता का पता लगाना। लेकिन शोधकर्ता रद्द-आफ्टर-मैच-फेल (CAMF) और मैच-आफ्टर-लॉक (MAL) नामक दो शून्य-दिन की कमजोरियों का उपयोग करके इन सुरक्षा उपायों को बायपास करने में सक्षम थे।

बॉयोमीट्रिक डेटा संरक्षण में भेद्यताएं

यह भी पता चला कि फिंगरप्रिंट सेंसर के सीरियल पेरिफेरल इंटरफेस (एसपीआई) पर बायोमेट्रिक डेटा में व्यापक सुरक्षा की कमी थी, जिससे फिंगरप्रिंट चोरी करने के लिए मैन-इन-द-मिडिल (एमआईटीएम) हमले की अनुमति मिलती है।

ब्रूट-फोर्स अटैक का परीक्षण

शोधकर्ताओं ने दस लोकप्रिय स्मार्टफोन मॉडल पर ब्रूट-फोर्स अटैक, जिसे ब्रूटप्रिंट कहा जाता है, का परीक्षण किया। वे Android और HarmonyOS (Huawei) फोन पर असीमित संख्या में फिंगरप्रिंट लॉगिन प्रयास करने में सक्षम थे। हालाँकि, iOS उपकरणों ने बेहतर प्रदर्शन किया, iPhone SE और iPhone 7 पर सिर्फ दस अतिरिक्त प्रयासों की अनुमति देते हुए, कुल 15 को लाया, जो एक क्रूर-बल हमले के लिए पर्याप्त नहीं है।

ब्रूट-फोर्स अटैक के लिए आवश्यक समय

विश्लेषण के अनुसार, BrutePrint 2.9 और 13.9 घंटों के बीच एक डिवाइस में सेंध लगा सकता है जिसमें केवल एक फिंगरप्रिंट सेट किया गया है। एक से अधिक फिंगरप्रिंट वाले लोग आसान होते हैं क्योंकि हमलावर के पास मैच खोजने का अधिक मौका होता है, इसलिए सफलता का समय 0.66 घंटे और 2.78 घंटे के बीच हो जाता है।

आक्रमण की कठिनाई

अच्छी खबर यह है कि यह सबसे आसान हमला नहीं है। न केवल किसी को लक्षित फोन और कुछ समय तक भौतिक पहुंच की आवश्यकता होगी, बल्कि उन्हें बॉयोमीट्रिक डेटा लीक या अकादमिक डेटासेट से फिंगरप्रिंट डेटाबेस तक पहुंच की भी आवश्यकता होगी। कुछ हार्डवेयर की भी आवश्यकता होती है, हालाँकि इसकी कीमत केवल $15 के आसपास होती है। हालाँकि, तकनीक कानून प्रवर्तन और राज्य-प्रायोजित अभिनेताओं के साथ उपयोग कर सकती है।

यह खोज एक अनुस्मारक है कि यहां तक ​​कि सबसे उन्नत सुरक्षा उपाय भी फुलप्रूफ नहीं हैं। Android उपयोगकर्ताओं को सतर्क रहना चाहिए और अपने डेटा की सुरक्षा के लिए अतिरिक्त सुरक्षा उपायों का उपयोग करने पर विचार करना चाहिए।

• मुख्य कीवर्ड: Android फ़िंगरप्रिंट लॉक
• LSI कीवर्ड: ब्रूट-फोर्स अटैक