Çoğu Android akıllı telefon sahibi arasında parmak izi Tarayıcıların popülaritesinin arttığı konusunda benimle aynı fikirde olabilirsiniz. Android akıllı telefonların çoğunda bir parmak izi tarayıcı bulunur. Çoğu durumda, parmak izi tarayıcıları Android akıllı telefonların üç farklı konumunda bulunur. Yana monteli parmak izi tarayıcılarımız, arkaya monteli ve ekran altı parmak izi tarayıcılarımız var. Konumları ne olursa olsun, hepsi tek bir amaca hizmet eder, o da güvenliktir.
Yeryüzündeki her insanın farklı bir parmak izi vardır. Bu nedenle, akıllı telefonlardaki parmak izi tarayıcıların özel verileri üçüncü bir gözden uzak tutmanın en güvenli yollarından biri olması gerektiği inkar edilemez. Bu ifade genel olarak doğru olsa da, istisnalar vardır.
AKILLI TELEFONLARDAKİ PARMAK İZİ TARAYICILAR OPTİMUM GÜVENLİK SAĞLIYOR MU?
Bunun cevabı, parmak izi korumalı telefonun kilidini nasıl açmak istediğinize bağlı olabilir. Akıllı telefonda kayıtlı olmayan farklı bir parmak iziyle kilidi açmaya çalışıyorsanız, en iyi koruma biçimine sahip olduğunuzdan emin olabilirsiniz. Peki ya birisi onu bir bilgisayar korsanlığı aracıyla açmaya çalışırsa? Gerçekten o kadar zor mu? Mümkün olsa bile, o araç mutlaka bir servete mal olacaktır. FBI ve diğerleri gibi devlet güvenlik kurumlarının soruşturma amaçları için karşılayabilecekleri kadar pahalı. Aslında, Android cihaz parmak izi korumasını 15 $ gibi düşük bir fiyata kırabilen bir araç artık mevcut.
15 DOLARLIK BİR ARAÇ, AKILLI TELEFON PARMAK İZİ TARAYICI KORUMASINI BOZUYOR
Tencent’ten Yu Chen ve Zhejiang Üniversitesi’nden Yiling He tarafından yapılan yeni araştırma, çoğu akıllı telefonda bilinmeyen iki güvenlik açığı olduğunu belirtti. Bu güvenlik açıkları, parmak izi kimlik doğrulama sisteminde bulunur ve sıfır gün güvenlik açıkları olarak adlandırılır. Saldırganlar, bu güvenlik açıklarını kullanarak, neredeyse tüm akıllı telefon parmak izi tarayıcılarının kilidini açmak için bir BrutePrint saldırısı gerçekleştirebilir .
Bunu başarmak için mikrodenetleyici, analog anahtar, SD flash kart ve karttan karta konektörle donatılmış 15 dolarlık bir devre kartı kullandılar. Saldırganların ihtiyacı olan tek şey, kurbanın telefonuyla ve tabii ki parmak izi veritabanıyla 45 dakika geçirmek.
ANDROİD AKILLI TELEFONLARIN PARMAK İZİ TARAYICILARI 45 DAKİKADA HACKLENDİ
Araştırmacı, sekiz farklı Android akıllı telefonu ve iki iPhone’u test etti. Android telefonlar arasında Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G ve Huawei P40 yer alıyor. iPhone’lar ayrıca iPhone SE ve iPhone 7’yi de içerir.
Çoğu akıllı telefon parmak izi korumasının sınırlı sayıda denemesi vardır, ancak BrutePrint saldırısı bu sınırlamayı atlayabilir. Parmak izi kimlik doğrulayıcıları, çalışmak için girdi ile saklanan parmak izi verileri arasında tam eşleşme gerektirmez. Bunun yerine, girişin bir eşleşme olacak kadar yakın olup olmadığını belirlemek için eşiği kullanır. Bu, herhangi bir kötü amaçlı sistemin avantaj sağlayabileceği ve saklanan parmak izi verilerini eşleştirmeye çalışabileceği anlamına gelir. Tek yapmaları gereken, parmak izi denemelerine konulan sınırı atlayabilmektir.
ARAŞTIRMACILAR, AKILLI TELEFONLARDAKİ PARMAK İZİ TARAYICILARININ KİLİDİNİ AÇMAK İÇİN 15 DOLARLIK ARACI NASIL KULLANDI?
Akıllı telefonların kilidini açmak için araştırmacıların tek yapması gereken, akıllı telefonların arka kapağını çıkarmak ve 15 dolarlık devre kartını takmaktı. Saldırı başlar başlamaz, her cihazın kilidini açmak yalnızca bir saatten az sürer. Cihazın kilidi açıldıktan sonra, ödemeleri yetkilendirmek için de kullanabilirler.
Her telefonun kilidinin açılması için geçen süre, modeller arasında farklılık gösteriyordu. Örneğin Oppo’nun kilidinin açılması yaklaşık 40 dakika sürerken, Samsung Galaxy S10+’ın kilidinin açılması yaklaşık 73 dakika ila 2,9 saat sürdü. Kilidini açması en zor Android akıllı telefon Mi 11 Ultra idi. Araştırmacılara göre kilidini açmak yaklaşık 2,78 ila 13,89 saat sürdü.
İPHONE OLDUKÇA GÜVENLİ
Araştırmacılar, iPhone’un kilidini açmaya çalışırken hedeflerine ulaşamadı. Bu, Android parmak izlerinin iPhone parmak izlerine kıyasla daha az güvenli olduğu anlamına gelmez. Bunun başlıca nedeni, Apple’ın iPhone’daki kullanıcıların verilerini şifrelemesidir. Şifreli bir veriyle, BrutePrint saldırısı iPhone’daki parmak izi veri tabanına erişemez. Apple, kullanıcı verilerini korumak için FaceID gibi kimliği doğrulanmış biyometrik yöntemler de kullanır. Bu nedenle, bu tür bir saldırının iPhone’un parmak izlerini çözmesinin hiçbir yolu yoktur.
ANDROİD AKILLI TELEFON KULLANICILARI KİŞİSEL VERİLERİNİN GÜVENLİĞİNİ NASIL SAĞLAYABİLİR?
Bir tüketici olarak, parola ve diğer koruma biçimlerini kullanmak dışında yapabileceğiniz çok az şey vardır. Ancak, kullanıcı verilerinin güvenliğini sağlamak için ekstra önlemler almak Android geliştiricilerinin elindedir. Bunun ışığında araştırmacılar, Yu Chen ve Yiling birkaç tavsiyede bulundu. Geliştirme ekibinin bypass girişimlerini sınırlayacağını öne sürdüler. Ayrıca Google’ı parmak izi tarayıcı ile yonga seti arasında değiş tokuş edilen tüm veriler için şifreleme uygulamaya çağırdılar.
Görüşümüz
Araştırmacıların bu sözde BrutePrint saldırısı için eski akıllı telefonları kullandıklarını fark edebilirsiniz. Bunun nedeni, modern Android akıllı telefonların daha sıkı uygulama izinleri ve uygulama güvenlik verileriyle daha güvenli olmasıdır. Bu araştırmacılar tarafından kullanılan yönteme bakılırsa, BrutePrint saldırısının günümüzün çoğu Android güvenliğine sızması çok zor olacak.
Security Boulevard, en yeni Android akıllı telefon kullanıcılarının endişelenmemelerini de garanti etti. Bunun nedeni, BrutePrint saldırısının Google’ın en son standartlarını izleyen Android akıllı telefonlarda çalışmayabilmesidir.
Bu tür bir saldırı, telefonun açık olmasını gerektirir. Ayrıca telefonun arkasını açmadan çalışamaz. Akıllı telefon açıksa ve arkası açıksa, üreticiler telefonun arkasının açıldığını algılayacak bir sensörü kolayca yerleştirebilir. Bu olduğunda, akıllı telefona erişmek için ekstra parola gerektirecek şekilde cihazı hızlı bir şekilde kilitleme moduna zorlayabilirler.
Yine de, bu saldırı bazı eski Android akıllı telefonlarda çalışıyor gibi görünüyor. Bu nedenle, mümkün olabilir ancak kullanıcılar için herhangi bir tehdit oluşturmayabilir.
