Kibernetiniai nusikaltėliai sumaniai išnaudoja įrenginių pažeidžiamumus ir apeina apsaugą
Tobulėjant išmaniosioms technologijoms, vartotojai gali džiaugtis vis įmantresniais, daugiau geresnių funkcijų turinčiais įrenginiais. Drauge su įvairiais patogiais išradimais tobulėja ir apsaugos bei identifikavimo priemonės, todėl dažnai žmonės jaučiasi pakankamai saugūs, naudodami išmaniuosius įrenginius. Tačiau verta nepamiršti, jog tobulėja ne tik vartotojams palankios funkcijos, bet ir kibernetinių nusikaltėlių būdai, kaip nulaužti įrenginius ir gauti svarbius duomenis.
Štai neseniai kibernetinio saugumo tyrėjai iš „Tencent Labs“ ir Zhejiang universiteto pranešė apie naują „BrutePrint“ ataką, kuri išnaudoja šiuolaikinių išmaniųjų telefonų pirštų atspaudų skaitytuvų spragas. Įprastai grubios jėgos atakos (ang brute-force attack) metu sistemiškai bandomos įvairios įmanomos kodų ar raidžių kombinacijos, kol randama ta, kuri tinka, kad būtų nulaužtas slaptažodis. Kadangi bandoma kiekviena įmanoma raidžių, skaičių ir simbolių kombinacija, tai gali užtrukti itin ilgai ir tiesiogiai priklauso nuo slaptažodžio sudėtingumo. Tačiau dabar tokios atakos rado naują būdą, kaip apeiti vartotojo autentifikavimą ir perimti „Android“ bei„ HarmonyOS“ („Huawei“) įrenginių valdymą per palyginus labai trumpą laiką.
Kinijos kibernetinio saugumo tyrinėtojai sėkmingai apėjo esamas apsaugos priemones, kurios iki šiol laikytos pakankamai geromis. Nepadėjo nei nesėkmingų bandymų limitai, nei gyvumo įvertinimas, nors šios priemonės yra skirtos apsaugoti įrenginį nuo grubios jėgos atakų. Mokslininkams pavyko įsilaužti į telefonus tiesiog pasinaudojant dvejomis nulinės dienos spragomis (ang. zero-day vulnerability), žinomomis kaip „Cancel-After-Match-Fail“ (CAMF) ir „Match-After-Lock“ (MAL).
Be to, kibernetinio saugumo tyrėjai išsiaiškino, kad pirštų atspaudų jutiklių nuosekliosios periferinės sąsajos (SPI) biometriniai duomenys nebuvo tinkamai apsaugoti, todėl MITM (ang. man-in-the-middle) ataka galėjo pagrobti pirštų atspaudų atvaizdus. O šie atvaizdai buvo pasitelkti tam, kad po daugybės bandymų galiausiai būtų pripažintas netikras atspaudas. Užbaigus tokią ataką, telefonas yra atrakinamas ir galima nevaržomai peržvelgti duomenis ar pavogti išsaugotus prisijungimus.
„BrutePrint“ ataka įvykdyta su „Android“ bei „HarmonyOS“, bet užfiksuotos ir „iOS“ spragos
„BrutePrint“ ataka buvo išbandyta su dešimt populiarių išmaniųjų telefonų modelių, įskaitant „Android“, „HarmonyOS“ („Huawei“) ir „iOS“ įrenginius, taip siekiant nustatyti jos efektyvumą. Ataka buvo sėkmingai įvykdyta visuose „Android“ ir „HarmonyOS“ įrenginiuose, o dar dešimt bandymų buvo sėkmingi ir „iOS“ įrenginiuose.
Pagrindinė „BrutePrint“ idėja yra pateikti begalinį skaičių pirštų atspaudų vaizdų, kol bus sėkmingai atitaikytas vartotojo nustatytas pirštų atspaudas. Kai sistema galiausiai priima netikrą atspaudą kaip tinkamą, telefonas atsirakina ir kibernetiniai nusikaltėliai gali daryti ką tik nori.
Tai skiriasi nuo įprastų grubios jėgos atakų, nes šios tiesiog pateikia begalinį kiekį konkrečių reikšmių, laukdamos, kol tiksliai atspės slaptažodį. Tuo tarpu bandant nulaužti atspaudą, tereikia peržengti tam tikrą atskaitos slenkstį, pagal kurį nusprendžiama, kad piršto atspaudas pakankamai atitinka įrašytąjį į telefono sistemą. Užpuolikai tiesiog manipuliuoja klaidingu priėmimo rodikliu (FAR) ir padidina priėmimo slenkstį, kad būtų lengviau sukurti sėkmingai priimamus atitikmenis.
Tiesa, tam, kad būtų paleista „BrutePrint“ ataka, Kinijos kibernetinio saugumo tyrėjams buvo reikalinga fizinė prieiga prie tikslinio įrenginio, pirštų atspaudų duomenų bazė, gauta iš akademinių duomenų rinkinių[1] arba nutekinimų[2], ir nebrangi įranga, kainuojanti apie 15 USD. O tai reiškia, jog įvykdyti panašią ataką už eksperimento ribų būtų gan sudėtinga, nes sunku įsivaizduoti, kokiomis aplinkybėmis kibernetiniai nusikaltėliai galėtų fiziškai prieiti prie norimo mobiliojo telefono. Veikiausiai kažkas panašaus būtų įmanoma tik fiziškai pavogus ar kitaip priėjus prie išmanaus įrenginio.
„BrutePrint“ ataka įvykdoma vos per kelias valandas
Tyrėjų eksperimentai atskleidė, kad tokią ataką galima įvykdyti užtrunkant vos kelias valandas, o laikas labiausiai priklauso nuo piršto atspaudų kiekio. Užregistravus tik vieną piršto atspaudą, laikas, reikalingas sėkmingai užbaigti „BrutePrint“ ataką pažeidžiamuose įrenginiuose, svyravo nuo 2,9 iki 13,9 valandos. Tačiau užregistravus kelis pirštų atspaudus, grubios jėgos atakos laikas sutrumpėjo iki 0,66–2,78 valandos, nes tikimybė gauti tinkančius vaizdus išaugo eksponentiškai.
Tam, kad būtų įvykdyta „BrutePrint“, pasitelkiamos kelios žinomos spragos. „BrutePrint“ palaiko ryšį tarp pirštų atspaudų jutiklio ir išmaniojo telefono TEE (ang. Trusted Execution Environment)[3]. Ataka manipuliuoja pirštų atspaudų autentifikavimo kelių mėginimų ir klaidų atšaukimo mechanizmais, išnaudojant jau minėtą CAMF spragą. Kontrolinės sumos klaidos įvedimas į pirštų atspaudų duomenis naudojant CAMF, sutrikdo autentifikavimo procesą ir leidžia bandyti pirštų atspaudus begalybę kartų, taip ir neregistruojant nesėkmingų bandymų.
Be to, MAL spraga leidžia užpuolikams nustatyti autentifikavimo rezultatus net tada, kai tikslinis įrenginys yra užrakintas. Po tam tikro skaičiaus nesėkmingų atrakinimo bandymų, suaktyvinamas blokavimo režimas. Nepaisant šio režimo, MAL spraga gali apeiti blokavimo apribojimus.
„BrutePrint“ ataka užbaigiama naudojant „neuroninio stiliaus perdavimo“ sistemą, kad visi duomenų bazėje esantys pirštų atspaudų atvaizdai atrodytų kaip jutiklio nuskaitymai iš tikslinio įrenginio. Dėl šio pakeitimo vaizdai atrodo tinkami ir žymiai padidina sėkmingo atitikimo tikimybę.
Visuose išbandytuose „Android“ įrenginiuose buvo nustatyta bent viena spraga. Tuo tarpu „iOS“ įrenginiai turėjo tvirtesnę autentifikavimo apsaugą, todėl buvo žymiai sunkiau sėkmingai įvykdyti grubios jėgos ataką. Nors buvo nustatyta, kad „iPhone SE“ ir „iPhone 7“ yra pažeidžiami CAMF spragos, padidinus pirštų atspaudų bandymų skaičių iki 15 vis tiek nepavyksta veiksmingai suklastoti savininko pirštų atspaudų panaudojimą. O kalbant apie SPI MITM ataką, apimančią vartotojo pirštų atspaudų vaizdo perėmimą, visi išbandyti „Android“ įrenginiai buvo pažeidžiami, o „iPhone“ buvo atsparūs dėl pirštų atspaudų duomenų šifravimo SPI.
Nors iš pirmo žvilgsnio „BrutePrint“ ataka gali atrodyti ribota, nes jai reikalinga ilgalaikė prieiga prie tikslinio įrenginio, jos pasekmių nereikėtų nuvertinti. Ataka gali palengvinti vagystę, nes nusikaltėliai gali atrakinti pavogtus įrenginius ir gauti nemokamą prieigą prie vertingų privačių duomenų. Be to, jos naudojimas teisėsaugoje kelia susirūpinimą dėl etinių klausimų ir žmogaus privatumo teisių. Tokių metodų naudojimas siekiant apeiti įrenginio saugumą tyrimo metu, gali pažeisti asmens teises, ypač jei tokia praktika draudžiama.
