Brute-Force-Attacke auf Fingerprint-Daten unter Android

Hallo,
weiß jemand, ob die „Brute Print“ Attacke auch noch bei Android 13 funktioniert? Von Google und den Geräteherstellern hört man nichts diesbezüglich.
Praktisch macht doch diese Sicherheitslücke Android unbrauchbar, oder wie seht ihr das?
https://arxiv.org/abs/2305.10791
Viele Grüße,
Rainer

1 „Gefällt mir“

Das Hauptproblem bei der Sicherheitslücke liegt nicht bei Android selbst, sondern wie die Gerätehersteller die Kommunikation zwischen Sensor und SoC umsetzen.
Bei den getesteten Android Geräten wurde die Kommunikation durchweg unverschlüsselt seitens der Gerätehersteller implementiert. Android als Betriebssystem hat darauf jedoch keinen Einfluss.

Das Problem kann sicherlich mit einigen Gegemaßnahmen in Android reduziert werden, Kern des Problems bleibt aber die unsichere Implementierung der Hersteller.

Leider wurden die Pixel Geräte von Google nicht getestet welche, ähnlich wie die iPhones, auch bei der Hardware hohe Sicherheitsstandards umsetzen.

Läuft die Kommunikation bei Android nicht über das Trusted Execution Environment (TEE)?
Bei Samsung ist das das TEEgris v4.1. Findet nicht bei neueren Versionen dieses Betriebssystem eine Verschlüsselung der Daten zum Hauptprozessor statt?

https://globalplatform.org/wp-content/uploads/2020/10/GP-TEE-2020_01-CR-1.0_GP200007-Certificate-and-Certification-Report_20200922.pdf

https://www.niap-ccevs.org/MMO/Product/st_vid11263-st.pdf