Customize this title in frenchUn outil peu coûteux peut être utilisé pour pénétrer facilement dans les téléphones Android

admin0

Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 words

De fausses empreintes digitales peuvent être utilisées pour déverrouiller certains téléphones Android, selon Yu Chen de Tencent et Yiling He de l’Université de Zhejiang (via Ars Technica).

Les chercheurs ont découvert que deux vulnérabilités zero-day présentes dans le cadre d’authentification des empreintes digitales de presque tous les smartphones peuvent être exploitées pour déverrouiller les combinés Android.

L’attaque a été nommée BrutePrint. Il nécessite une carte de circuit imprimé de 15 $ avec un microcontrôleur, un commutateur analogique, une carte flash SD et un connecteur carte à carte. L’attaquant devra également être en possession du smartphone de la victime pendant au moins 45 minutes et une base de données d’empreintes digitales sera également requise.

Les téléphones Android peuvent être piratés en aussi peu que 45 minutes

Les chercheurs ont testé huit Téléphones Android – Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G et Huawei P40 – et deux iPhones – iPhone SE et iPhone 7.

Les smartphones autorisent un nombre limité de tentatives d’empreintes digitales, mais BrutePrint peut contourner cette limite. Le processus d’authentification par empreinte digitale n’a pas besoin d’une correspondance directe entre les valeurs saisies et la valeur de la base de données. Il utilise un seuil de référence pour déterminer une correspondance. Un mauvais acteur peut en profiter en essayant différentes entrées jusqu’à ce qu’il utilise une image qui ressemble étroitement à celle stockée dans la base de données d’empreintes digitales.

L’attaquant devra retirer le capot arrière du téléphone pour fixer le circuit imprimé à 15 $ et mener l’attaque. Les chercheurs ont pu déverrouiller les huit téléphones Android en utilisant la méthode. Une fois qu’un téléphone est déverrouillé, il peut également être utilisé pour autoriser les paiements.

L’ensemble du processus peut prendre entre 40 minutes et 14 heures, en fonction de facteurs tels que le cadre d’authentification d’empreintes digitales d’un modèle particulier et le nombre d’empreintes digitales enregistrées pour l’authentification.

Le Galaxy S10+ a mis le moins de temps à céder (0,73 à 2,9 heures), tandis que le Mi 11 a mis le plus de temps (2,78 à 13,89 heures).

L’iPhone est sûr car iOS crypte les données

L’authentification par empreinte digitale du smartphone utilise une interface périphérique série pour connecter un capteur et la puce du smartphone. Étant donné qu’Android ne crypte pas les données, BrutePrint peut facilement voler des images stockées dans des appareils cibles.

Boulevard de la sécurité dit que les propriétaires de nouveaux téléphones Android n’ont pas à s’inquiéter car l’attaque ne fonctionnera probablement pas sur les téléphones qui suivent les dernières normes de Google.
Yu Chen et Yiling He ont recommandé plusieurs modifications pour déjouer ces attaques, telles que le traitement des contournements limitant les tentatives et le chiffrement des données envoyées entre le lecteur d’empreintes digitales et le chipset.

Source link -57