연구원들에 따르면 안드로이드 스마트폰의 지문 보안을 우회하는 데 15달러의 회로 기판만 필요하다고 합니다.

Android 스마트폰의 지문 센서는 이러한 휴대용 기술에 가장 일반적으로 추가되는 기능일 것입니다. 손가락이나 엄지손가락을 한 번만 대면 휴대폰 소유자가 장치에 액세스할 수 있다는 점이 편리하지만 보안 위험이 따릅니다. 일부 연구자들은 안드로이드를 실행하는 다양한 기기에 저장된 지문을 하이재킹하는 것이 저렴한 15달러짜리 회로 기판을 통해 가능하다는 것을 입증했습니다.

연구원들은 15달러짜리 회로 기판을 BrutePrint라고 부르며, 안드로이드 스마트폰의 저장된 지문을 축적하는 데 45분 정도 소요됩니다. 이 연구자들은 그것이 작동하는지 보여주기 위해 10개의 스마트폰에서 테스트했는데, 그 중 2개는 iPhone SE와 iPhone 7이었고 나머지는 Google의 모바일 OS를 실행하는 고급 모델이었으며 몇 년 전의 것이었습니다.

BrutePrint는 STMicroelectronics의 STM32F412 마이크로 컨트롤러, RS2117이라는 양방향 이중 채널 아날로그 스위치, 8GB 내부 메모리를 갖춘 SD 카드, 스마트폰 마더보드를 지문 센서의 회로 기판에 연결하는 커넥터로 구성됩니다. BrutePrint는 무제한 지문 추측을 허용하는 Android 스마트폰의 취약점을 이용하여 데이터베이스에서 가장 가까운 일치 항목이 발견되는 즉시 장치가 잠금 해제됩니다.

그러나 각 Android 스마트폰은 다르게 제작되었으며, Ars Technica의 보고에 따르면 연구원들은 핸드셋 잠금을 해제하는 데 40분에서 14시간이 소요되는 것으로 나타났습니다. 테스트된 10개 모델 중 잠금 해제에 걸리는 시간은 갤럭시 S10 플러스가 0.73~2.9시간으로 가장 짧았고, 샤오미 미 11 울트라는 잠금 해제에 2.78~13.89시간이 걸렸습니다. 연구원들은 테스트한 두 iPhone 모델의 보안을 우회하는 데 성공하지 못했습니다. iOS는 보안 데이터를 암호화하는 반면 Android는 암호화하지 않아 소비자에게 우려를 불러일으킬 수 있기 때문입니다.

다행스럽게도 연구원들은 이 보안 악용이 운영 체제에서 완화될 수 있다고 믿고 있습니다. 개인들은 이 최신 연구 결과가 사람들이 지문 데이터를 암호화하기 위해 신중한 조치를 취하도록 장려하기를 희망하기 때문입니다. 또한 연구진은 스마트폰과 지문인식 센서 제조사가 공동으로 노력하면 이러한 보안 위협을 해결할 수 있다고 밝혔습니다. 이제 남은 것은 보안이 강화된 미래의 Android 스마트폰뿐입니다.

일반적인 상황에서는 안드로이드 스마트폰의 지문 보안을 우회하는 것이 엄청나게 어려울 수 있지만, 그렇다고 제조업체가 저렴한 회로를 통해 가능한 이 악용을 완전히 무시한다는 의미는 아닙니다.

뉴스 출처: Ars Technica