Peneliti Temukan Serangan Baru yang Menargetkan Sistem Otentikasi Sidik Jari pada Ponsel Modern
Para peneliti dari Tencent Labs dan Universitas Zhejiang telah menemukan jenis serangan baru yang menargetkan sistem otentikasi sidik jari pada ponsel modern. Serangan ini dinamai BrutePrint dan bertujuan untuk melewati otentikasi pengguna melalui percobaan berulang-ulang yang menjadi ancaman serius bagi akun dan individu. Serangan ini bekerja dengan sistematis mencoba membuka kunci perangkat menggunakan database yang berasal dari kumpulan data akademik, data biometrik yang bocor dan sumber serupa.
Untuk melaksanakan serangan BrutePrint, para peneliti mengidentifikasi dan memanfaatkan dua kerentanan zero-day yang dinamai Cancel-After-Match-Fail (CAMF) dan Match-After-Lock (MAL), yang memungkinkan mereka mengatasi perlindungan yang ada pada ponsel pintar seperti batasan percobaan. Selain itu, para peneliti juga menemukan bahwa data pada antarmuka Serial Peripheral Interface (SPI) pada sensor sidik jari tidak terlindungi, sehingga rentan terhadap serangan.
Dilansir dari Android Headlines, serangan ini hanya membutuhkan waktu beberapa jam untuk berhasil pada perangkat dengan beberapa sidik jari terdaftar, karena kemungkinan menemukan sidik jari yang tepat meningkat secara dramatis. Namun, pada perangkat dengan hanya satu sidik jari terdaftar, serangan ini memakan waktu antara 2,9 hingga 13,9 jam.
Para peneliti telah menguji serangan ini pada sepuluh model ponsel populer dan menemukan bahwa semua perangkat Android rentan. Di sisi lain, perangkat iOS jauh lebih aman, dan para peneliti hanya dapat mendapatkan sepuluh percobaan tambahan pada model iPhone SE dan iPhone 7, sehingga serangan ini tidak efektif.
Meskipun jenis serangan ini mungkin tidak menarik bagi peretas rata-rata karena membutuhkan akses fisik ke ponsel, para peneliti telah memperingatkan bahwa aktor yang disponsori oleh negara dan lembaga penegak hukum dapat memanfaatkan teknik ini untuk mengakses data. Oleh karena itu, produsen perangkat perlu bertindak cepat dan memperbaiki kerentanan zero-day ini secepat mungkin.
Tidak diragukan lagi bahwa dalam beberapa tahun terakhir, ancaman peretas yang memanfaatkan kerentanan untuk mendapatkan akses ke informasi telah mendorong banyak perusahaan ponsel untuk menerapkan langkah-langkah keamanan yang kuat.