BrutePrint攻击暴力破解指纹解锁智能手机

研究人员发现一种低成本攻击技术，可用于暴力破解智能手机指纹，绕过用户身份验证，夺取手机的控制权。

该方法名为BrutePrint，通过武器化智能手机指纹认证（SFA）框架中的两个零日漏洞，绕过对生物特征身份验证尝试次数的限制。

这两个漏洞分别是Cancel-After-Match-Fail（CAMF）和Match-After-Lock（MAL），利用了身份验证框架中的逻辑缺陷，而缺陷的根源在于对指纹传感器串行外设接口（SPI）上的指纹数据防护不周。

在研究论文中，两位作者，腾讯玄武实验室的Yu Chen和浙江大学的Yiling He表示：“因此，我们找到了通过硬件中间人（MitM）攻击实现指纹图像劫持的方法。BrutePrint充当了指纹传感器和可信执行环境（TEE）之间的中间人。”

该方法的核心目标是能够无限次提交指纹图像，直到出现匹配。不过，要执行这种攻击，攻击者首先得能实际接触到目标设备。

此外，攻击者还需掌握指纹数据库和包含微控制器板和自动点击器的装置，从而劫持指纹传感器发送的数据，实现这一15美元的低成本攻击。

通过名为CAMF的漏洞，攻击者可以无效化指纹数据的校验和，增加系统的容错能力，达到无限次尝试指纹匹配的目的。

另一方面，MAL漏洞则利用边信道推断目标设备上指纹图像的匹配，即便在多次重复尝试登录后手机处于锁定模式。

研究人员解释称：“尽管Keyguard会进一步检查手机是否处于锁定模式来禁止解锁，但TEE已经得出了认证结果。”

“由于一旦样本匹配就会立即返回认证成功的结果，攻击者就可以利用边信道攻击从响应时间和获取图像数量等行为推断出该结果。”

研究人员在实验环境中针对苹果、华为、一加、OPPO、三星、小米和vivo的十款智能手机测试了BrutePrint攻击方法，在Android和鸿蒙上实现了无限次指纹匹配尝试，iOS设备上则可以额外增加10次指纹匹配尝试机会。

此前，有学者详细描述了一种混合边信道攻击方法，该方法利用现代片上系统（SoC）和GPU的“执行速度（也就是频率）、能耗和温度之间的三方权衡”，对Chrome 108和Safari 16.2浏览器执行“基于浏览器的像素窃取和历史嗅探攻击”。

该攻击名为Hot Pixels，利用上述行为进行网站指纹攻击，并使用JavaScript代码获取用户的浏览历史。

这是通过设计计算量大的SVG滤镜来实现的，该滤镜通过测量渲染时间来泄漏像素颜色并悄悄获取信息，准确率高达94%。

苹果、谷歌、AMD、英特尔、英伟达和高通公司都已经承认了这些问题。研究人员还建议“禁止对iframe和超链接应用SVG滤镜”，防止传感器数据非特权访问。

在BrutePrint和Hot Pixels公开之前，谷歌还在英特尔的信任域扩展（Trust Domain Extensions：TDX）技术中发现了10个安全缺陷，这些缺陷可能导致任意代码执行、拒绝服务和完整性丧失。

与此相关的是，英特尔CPU还容易遭到一种边信道攻击，这种攻击利用在瞬态执行期间改变EFLAGS寄存器所引起的执行时间变化来解码数据而不依赖于高速缓存。