Доброго времени суток! Вчера размышлял на тему что многие сервисы,банки,платежки и т.д уходят в мобильный формат( приложения) и для подтверждения операций или входа просят подтвердить отпечатком пальца на сканера, отсюда вопрос и возникает где хранятся эти данные, в каком формате, реально ли их вытаскивать удаленно через ратник, сейчас говорим о отпечатки разблокировки экрана,с вероятностью 99,9% он и стоит на приложении, а не большой палец ноги))) у кого какие мысли поэтому поводу?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Где храняться в андроид данные биометрии(отпечатки,голос,фейс)? И как их можно вытащить
- Автор темы Arab14
- Дата начала
Первая ссылка в гугле http://android.mobile-review.com/articles/51661/
- Автор темы
- Добавить закладку
- #3
Где хранятся и как понятно теперь, инструменты получения информации оттуда существуют ли и их создание реально ли или идея-утопия?
Чисто в теории это реализуемо, ну с рут правами уж точно. Как вариант вообще если знаешь пинкод блокировки телефона то ставить свой отпечаток
- Автор темы
- Добавить закладку
- #5
Тут Рут само собой. без доступа к смарту, удаленно схватить отпечаток чтобы его использовать на данном аппарате в этом же устройстве, а так конечно при наличии аппарата под рукой уже делают на 3d-принтере отпечатки при наличии таковых с поверхностей любых
very small information is known about storage of encrypted biometrics on local machines
this is a interesting area and new
thanks for posting
waiting for new answers ideas
this is a interesting area and new
thanks for posting
waiting for new answers ideas
не проще ли хукнуть java функу, которая возращает бинарный результат проверки ?
Отпечатки которые возможно изготовить в домашних условиях не смогут разблокировать большинство современных смартфонов, так как здесь все напрямую зависит от самого типа сканера, а их бывает несколько видов уже: Оптические, емкостные, ультразвуковые вот последние вроде являются наиболее защищенными....
Android-устройства сохраняют эти данные в ARM-чипах типа Trusted Execution Environment (TEE)
если работает, как описано, то "идея - утопия".
Известные взломы криптоконтейнеров осуществляются атакой на память. Здесь это недоступно.
Теоретически, какие то данные могут быть получены путём создания своего приложения, которое работает с биометрией.
что-то мне кажется не реальной эта затея, а вот про отпечатки на 3д принтере слышал, но чет не сразу об этом подумал
Возможно затея и реальная но нужно достаточно много ресурсов... Ибо скорее всего придётся реверсить/всячески фазить данные чипы и API которые с ним работают итд. В общем понять всю логику/механизм их работы со всеми нюансами. Что в сумме подразумевает наличие довольно солидного бэкграунда в ИБ, программировании.
Я интересовался этой темой.
Сам отпечаток может храниться в "хэшированном" виде, не в виде битмапа.
То же самое для остального.
Более перспективной идеей казался реверс, чтобы понять какие есть отличия в неподходящей биометрии. Но это очень сложно если не будет каких-то функций вида "сравнение расстояния между глазами".
С TEE придется обломаться.
Хотя кстати побрутить можно попробовать, если получать процент схожести.
Тема эта очень обширная, и будет гигантская разница в сложности в несколько порядков в зависимости от аппарата. Это если голый TEE позволит при полном доступе брутить.
Отпечатки можно воссоздать по их отпечаткам на поверностях, даже успешную статью видел.
Удаленно - "дипфейк" (скорее всего известные не подойдут из-за искажений при поворотах головы, но стоит попробовать, так вериф делают) лица владельца (нужны пропорции), голос послушать и смоделировать можно (спектр, основные частоты), пальцы никак.
Матчасть гуглится. Был даже дипфейк с обамой и его голосом.
Сам отпечаток может храниться в "хэшированном" виде, не в виде битмапа.
То же самое для остального.
Более перспективной идеей казался реверс, чтобы понять какие есть отличия в неподходящей биометрии. Но это очень сложно если не будет каких-то функций вида "сравнение расстояния между глазами".
С TEE придется обломаться.
Хотя кстати побрутить можно попробовать, если получать процент схожести.
Тема эта очень обширная, и будет гигантская разница в сложности в несколько порядков в зависимости от аппарата. Это если голый TEE позволит при полном доступе брутить.
Отпечатки можно воссоздать по их отпечаткам на поверностях, даже успешную статью видел.
Удаленно - "дипфейк" (скорее всего известные не подойдут из-за искажений при поворотах головы, но стоит попробовать, так вериф делают) лица владельца (нужны пропорции), голос послушать и смоделировать можно (спектр, основные частоты), пальцы никак.
Матчасть гуглится. Был даже дипфейк с обамой и его голосом.
Последнее редактирование:
Главный вопрос , зачем ?
What he said!