من الملاحظ أنه ازدادت شعبية ماسحات بصمات الأصابع بين معظم مالكي الهواتف الذكية التي تعمل بنظام Android،حيث تأتي غالبية الهواتف الذكية التي تعمل بنظام Android مزودة بماسح ضوئي لبصمات الأصابع ، وفي معظم الحالات، ستجد ماسحات ضوئية لبصمات الأصابع في ثلاثة مواقع مختلفة من الهواتف الذكية التي تعمل بنظام Android، فهناك ماسحات ضوئية لبصمات الأصابع مثبتة على الجانب، وماسحات ضوئية لبصمات الأصابع مثبتة في الخلف، وتحت الشاشة،و بغض النظر عن موقعها، فإنها تؤدي جميعها غرضًا رئيسيًا واحدًا، وهو الأمن.
هل توفر ماسحات بصمات الأصابع على الهواتف الذكية الأمان الأمثل؟
من المعروف أن لكل إنسان على وجه الأرض بصمة مختلفة، لذلك، ليس هناك من ينكر أن الماسحات الضوئية لبصمات الأصابع على الهاتف الذكي يجب أن تكون واحدة من أكثر الطرق أمانًا لإبقاء البيانات الخاصة بعيدًا عن العين الثالثة، وبينما هذا صحيح بشكل عام، إلا أن هناك استثناءات، فهل توفر ماسحات بصمات الأصابع على الهواتف الذكية الأمان الأمثل؟
قد تعتمد الإجابة على هذا التساؤل، على الطريقة التي ترغب بها في فتح الهاتف المحمي ببصمة الإصبع، إذا كنت تحاول إلغاء القفل ببصمة إصبع مختلفة غير مسجلة على الهاتف الذكي، فأنت بالتأكيد تتمتع بأفضل شكل من أشكال الحماية، ولكن ماذا لو حاول شخص ما فتحه بأداة قرصنة؟ هل حقا أن من الصعب؟ حتى لو كان ذلك ممكنًا، فمن المؤكد أن هذه الأداة ستكلف ثروة من المال، في الواقع، هناك الآن أداة متاحة يمكنها اختراق حماية بصمة جهاز Android مقابل أقل من 15 دولارًا.
أداة تكسر حماية ماسح بصمات الأصابع للهواتف الذكية
أشار بحث جديد أجراه Yu Chen من Tencent و Yiling He من جامعة Zhejiang إلى وجود ثغرتين غير معروفين في معظم الهواتف الذكية، توجد هذه الثغرات الأمنية في نظام المصادقة ببصمة الإصبع، ويطلق عليها ثغرات يوم الصفر، باستخدام هذه الثغرات الأمنية، يمكن للمهاجمين تنفيذ هجوم BrutePrint لإلغاء قفل أي ماسح ضوئي لبصمة الهاتف الذكي تقريبًا .
لتحقيق ذلك، استخدموا لوحة دوائر كهربائية بقيمة 15 دولارًا ومجهزة بمتحكم دقيق، ومفتاح تناظري، وبطاقة فلاش SD وموصل من اللوحة إلى اللوحة، وكل ما يحتاجه المهاجمون هو قضاء 45 دقيقة مع هاتف الضحية، وبالطبع قاعدة بيانات بصمات الأصابع.
اختراق ماسحات بصمات الأصابع في الهواتف الذكية التي تعمل بنظام Android في غضون 45 دقيقة
اختبر الباحث ثمانية هواتف ذكية مختلفة تعمل بنظام Android واثنين من أجهزة iPhone، تشمل هواتف Android Xiaomi Mi 11 Ultra و Vivo X60 Pro و OnePlus 7 Pro و OPPO Reno Ace و Samsung Galaxy S10 + و OnePlus 5T و Huawei Mate30 Pro 5G و Huawei P40، وتشتمل أجهزة iPhone أيضًا على iPhone SE و iPhone 7.
تحتوي معظم عمليات حماية بصمات أصابع الهاتف الذكي على عدد محدود من المحاولات، لكن هجوم BrutePrint يمكن أن يتجاوز هذا العدد من المحاولات، حيث لا يتطلب مصادقو بصمات الأصابع، المطابقة التامة بين الإدخال، وبيانات بصمات الأصابع المخزنة للعمل، فهم بدلاً من ذلك، يستخدم العتبة لتحديد ما إذا كان الإدخال قريبًا بدرجة كافية ليكون مطابقًا، وهذا يعني أنه يمكن لأي نظام ضار الاستفادة ومحاولة مطابقة بيانات بصمات الأصابع المخزنة، وكل ما عليهم فعله هو أن يكونوا قادرين على تجاوز الحد الموضوع على محاولات البصمة.
كيف استخدم الباحثون أداة 15 دولارًا لإلغاء قفل ماسحات بصمات الأصابع على الهواتف الذكية
لإلغاء قفل الهواتف الذكية، كان كل ما على الباحثين فعله هو إزالة الغطاء الخلفي للهواتف الذكية وإرفاق لوحة الدائرة الكهربائية التي تبلغ قيمتها 15 دولارًا، وبمجرد بدء الهجوم، يستغرق فتح كل جهاز أقل من ساعة فقط، وبمجرد إلغاء قفل الجهاز، يمكنهم استخدامه.
يختلف الوقت المستغرق لإلغاء قفل كل هاتف بين الطرازات، بينما استغرق Oppo على سبيل المثال حوالي 40 دقيقة لفتحه، استغرق Samsung Galaxy S10 + حوالي 73 دقيقة إلى 2.9 ساعة لفتحه، وكان أصعب هاتف ذكي يعمل بنظام Android لفتحه هو Mi 11 Ultra، حيث استغرق الأمر، وفقًا للباحثين ، حوالي 2.78 إلى 13.89 ساعة لفتحه.
iPhone آمن تمامًا
في محاولة لفتح iPhone ، لم يتمكن الباحثون من تحقيق هدفهم، وهذا لا يعني بالضرورة أن بصمات Android أقل أمانًا مقارنة ببصمات iPhone، إذ يرجع ذلك أساسًا إلى أن Apple تقوم بتشفير بيانات المستخدمين على iPhone، حيث أنه باستخدام البيانات المشفرة، لا يمكن لهجوم BrutePrint الوصول إلى قاعدة بيانات بصمات الأصابع على iPhone، وتستخدم Apple أيضًا أساليب المقاييس الحيوية المصدق عليها مثل FaceID لحماية بيانات المستخدم، ونتيجة لهذا، لا توجد طريقة يمكن لهذا النوع من الهجوم من خلالها فتح بصمات أصابع iPhone.
كيف يمكن لمستخدمي الهواتف الذكية التي تعمل بنظام Android ضمان أمان بياناتهم الشخصية؟
كمستخدم، هناك القليل الذي يمكنك فعله بصرف النظر عن استخدام كلمات المرور، وأشكال الحماية الأخرى، ومع ذلك، فإن الأمر متروك لمطوري Android لاتخاذ تدابير إضافية لضمان سلامة بيانات المستخدم، وفي ضوء ذلك، قدم الباحثان يو تشن ويلينغ بعض التوصيات:
- اقترحا أن فريق التطوير سيحد من محاولات الالتفاف.
- حثا Google على تنفيذ التشفير لجميع البيانات المتبادلة بين ماسح بصمات الأصابع ومجموعة الشرائح.