이 블로그 게시물에서는 무차별 암호 대입 공격에 대한 Android 휴대폰의 취약성을 자세히 살펴보겠습니다. Bleeping Computer에서 방송된 뉴스의 원본 소스입니다.
지문 무차별 대입 공격 이해
무차별 지문 대입 공격은 장치에 대한 무단 액세스 및 제어를 목표로 스마트폰의 지문 인증 시스템을 크랙하려는 반복적인 시도에 의존합니다. 이러한 공격은 특정 Android 기기에 구현된 보안 조치의 취약점을 악용합니다.
제로데이 취약점 악용
Tencent Labs와 Zhejiang University의 연구원들은 최근 ‘BrutePrint’라는 새로운 공격 방법을 발견했습니다. 두 가지 제로데이 취약점인 CAMF(Cancel-After-Match-Fail) 및 MAL(Match-After-Lock)을 악용하여 연구원들은 최신 스마트폰에 대한 무차별 암호 대입 공격으로부터 보호하는 기존 안전 장치를 우회할 수 있었습니다.
BrutePrint 작동 방식
BrutePrint는 사용자 정의 지문과 일치하는 항목이 발견될 때까지 대상 장치에 무제한의 지문 이미지를 제출하는 공격자와 관련이 있습니다. 이 공격을 실행하려면 장치에 대한 물리적 액세스가 필요하며 학술 데이터 세트 또는 생체 인식 데이터 유출에서 얻을 수 있는 지문 데이터베이스에 대한 액세스도 함께 필요합니다. 필요한 장비 비용은 약 $15입니다.
인증 메커니즘 조작
암호 크래킹과 달리 지문 인증은 특정 값이 아닌 기준 임계값에 의존합니다. 공격자는 FAR(False Acceptance Rate)을 조작하여 허용 임계값을 높이고 더 쉽게 매치할 수 있습니다. BrutePrint는 CAMF 취약점을 악용하여 스마트폰에서 지문 인증의 다중 샘플링 및 오류 취소 메커니즘을 조작합니다.
잠금 모드 극복
MAL 결함을 통해 공격자는 장치가 “잠금 모드”인 경우에도 지문 이미지의 인증 결과를 추론할 수 있습니다. 잠금 해제 시도가 일정 횟수 연속 실패하면 잠금 모드가 활성화됩니다. 그러나 MAL 취약성은 이 제한을 우회하여 공격자가 무차별 대입 시도를 계속할 수 있도록 합니다.
영향 및 완화
BrutePrint 공격은 10개의 인기 있는 스마트폰 모델에 대해 테스트되었으며 모든 Android 및 HarmonyOS(Huawei) 장치는 무제한 시도에 취약한 반면 iOS 장치는 10개의 추가 시도를 허용했습니다. 이 취약성은 지문 무차별 암호 대입 공격으로부터 보호하기 위해 Android 장치에 대한 더 강력한 보안 조치의 필요성을 강조합니다.
장치 보호: 지문 무차별 암호 대입 공격으로부터 보호
지문 무차별 대입 공격에 대한 Android 휴대폰의 취약성은 사용자 개인 정보 보호 및 장치 보안에 대한 우려를 불러일으킵니다. 장치 제조업체와 소프트웨어 개발자는 강력한 보안 조치와 정기적인 소프트웨어 업데이트를 구현하여 이러한 취약점을 해결하는 것이 중요합니다.
지문 인증과 관련된 잠재적인 위험을 이해하고 장치 보안에 대해 주의를 기울이면 사용자는 이러한 공격의 영향을 완화하고 개인 정보를 보호할 수 있습니다.
지난 몇 개월 동안 스마트폰의 보안 문제와 관련하여 암호화폐 지갑에 침투하는 Nexus Android Trojan에 대한 기사도 준비했습니다.
