Detta är slutsatserna av experter från Kina som undersökte två tidigare ansett okända sårbarheter i Androids fingeravtrycksidentifieringssystem.
Det visade sig att dessa “hål” i systemets säkerhet låter dig låsa upp nästan vilken fingeravtrycksläsare som helst.
Och “”, bestående av en mikrokontroller, en enkel analog switch, ett 8 GB SD-minneskort och en kontakt genom vilken fingeravtrycksläsaren var ansluten till smarttelefonens moderkort, köptes på Internet för $15.
Experter, enligt dem, har hittills endast testat 8 olika Android-smartphones från olika priskategorier. Dessa är Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G och Huawei P40.
Under vägen testades tekniken på två gamla iPhone SE och iPhone 7, som också är utrustade med fingeravtrycksläsare.
Som experimentörerna noterar, krävde också olika lång tid att hacka varje enskild smartphonemodell från de listade.
Under de ovan nämnda 40 minuterna hackade de ett relativt enkelt hack i modern tid. Samsung Galaxy S10+ gav upp efter 73 minuter. Och den som höll längst var den en gång flaggskeppet – jag fick pyssla med den i nästan 14 timmar.
Proceduren för att hacka säkerheten i detta speciella fall ser extremt enkel ut: på smarttelefonen lyftes först gränsen för antalet försök att komma in och känna igen ett fingeravtryck, och sedan laddades fingeravtrycksdatabasen.
Det andra steget, beroende på modell, tog från 40 minuter till flera timmar, men i slutändan låstes alla Android-smarttelefoner som var inblandade i experimentet upp. Efter det kunde alla göra en betalning (även som ett experiment).
Denna metod fungerade inte på iPhone. Helt enkelt för att, till skillnad från Android-smarttelefoner, är iPhones fingeravtrycksdatabasen krypterad. Specialisterna lyckades bara öka antalet försök att ange ett fingeravtryck från de föreskrivna 5 till 15. Men detta räckte inte för att hacka.
Det är därför, i det här fallet, de gamla visade sig vara starkare än sina Android-kamrater, vars fingeravtryck inte är krypterade vid dataöverföringsstadiet mellan skannern och processorn, och begränsningen av inmatning är helt borttagen.
Det är också anmärkningsvärt att ju fler fingeravtryck en Android-smarttelefonanvändare lyckades registrera, desto lättare var det att hacka säkerheten. Det var därför vi var tvungna att pyssla längre, eftersom han bara hade ett fingeravtryck registrerat. Och av de smartphones som hade fler fingeravtryck i databasen höll ingen längre än 3 timmar.
