Bypass Biometric Authentication (Android)

Mobile Securityの専門知識を深めるには、8kSec Academyをご利用ください。自己ペースのコースを通じてiOSとAndroidのセキュリティをマスターし、認定を取得しましょう：

On-demand Mobile Security Training | 8kSec Academy8kSec Academy

方法1 – 暗号オブジェクトを使用せずにバイパスする

ここでの焦点は、認証プロセスにおいて重要なonAuthenticationSucceededコールバックです。WithSecureの研究者は、*onAuthenticationSucceeded(...)*内のNULL CryptoObjectをバイパスするためのFridaスクリプトを開発しました。このスクリプトは、メソッドの呼び出し時に指紋認証の自動バイパスを強制します。以下は、Androidの指紋コンテキストでのバイパスを示す簡略化されたスニペットで、完全なアプリケーションはGitHubで入手できます。

biometricPrompt = new BiometricPrompt(this, executor, new BiometricPrompt.AuthenticationCallback() {
@Override
public void onAuthenticationSucceeded(@NonNull BiometricPrompt.AuthenticationResult result) {
Toast.makeText(MainActivity.this,"Success",Toast.LENGTH_LONG).show();
}
});

Fridaスクリプトを実行するコマンド：

frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-bypass.js

Method 2 – 例外処理アプローチ

Another Frida script by WithSecure addresses bypassing insecure crypto object usage. スクリプトは、指紋によって承認されていないCryptoObjectを使用してonAuthenticationSucceededを呼び出します。アプリケーションが異なる暗号オブジェクトを使用しようとすると、例外が発生します。スクリプトはonAuthenticationSucceededを呼び出す準備をし、_Cipher_クラス内のjavax.crypto.IllegalBlockSizeExceptionを処理し、アプリケーションによって使用される後続のオブジェクトが新しいキーで暗号化されることを保証します。

Command to run the Frida script:

frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-bypass-via-exception-handling.js

指紋画面に到達し、authenticate()が開始されると、Fridaコンソールでbypass()と入力してバイパスを有効にします:

Spawning com.generic.insecurebankingfingerprint...
[Android Emulator 5554::com.generic.insecurebankingfingerprint]-> Hooking BiometricPrompt.authenticate()...
Hooking BiometricPrompt.authenticate2()...
Hooking FingerprintManager.authenticate()...
[Android Emulator 5554::com.generic.insecurebankingfingerprint]-> bypass()

Method 3 – Instrumentation Frameworks

Instrumentation frameworks like Xposed or Frida can be used to hook into application methods at runtime. For fingerprint authentication, these frameworks can:

1. 認証コールバックをモックする: By hooking into the onAuthenticationSucceeded, onAuthenticationFailed, or onAuthenticationError methods of the BiometricPrompt.AuthenticationCallback, you can control the outcome of the fingerprint authentication process.

2. SSLピンニングをバイパスする: This allows an attacker to intercept and modify the traffic between the client and the server, potentially altering the authentication process or stealing sensitive data.

Example command for Frida:

frida -U -l script-to-bypass-authentication.js --no-pause -f com.generic.in

方法4 – リバースエンジニアリングとコード修正

APKTool、dex2jar、およびJD-GUIのようなリバースエンジニアリングツールを使用して、Androidアプリケーションを逆コンパイルし、そのソースコードを読み、認証メカニズムを理解することができます。一般的な手順は次のとおりです。

1. APKの逆コンパイル: APKファイルをより人間が読みやすい形式（Javaコードなど）に変換します。

2. コードの分析: 指紋認証の実装を探し、潜在的な弱点（フォールバックメカニズムや不適切な検証チェックなど）を特定します。

3. APKの再コンパイル: 指紋認証をバイパスするためにコードを修正した後、アプリケーションは再コンパイルされ、署名され、テストのためにデバイスにインストールされます。

方法5 – カスタム認証ツールの使用

認証メカニズムをテストおよびバイパスするために設計された専門的なツールやスクリプトがあります。例えば：

1. MAGISKモジュール: MAGISKは、ユーザーがデバイスをルート化し、指紋を含むハードウェアレベルの情報を修正または偽装できるモジュールを追加するためのAndroid用ツールです。

2. カスタムビルドのスクリプト: スクリプトは、Androidデバッグブリッジ（ADB）と対話するか、アプリケーションのバックエンドと直接対話して指紋認証をシミュレートまたはバイパスするために作成できます。

参考文献

• https://securitycafe.ro/2022/09/05/mobile-pentesting-101-bypassing-biometric-authentication/

モバイルセキュリティの専門知識を深めるために、8kSecアカデミーをご利用ください。自己ペースのコースを通じてiOSとAndroidのセキュリティをマスターし、認定を取得しましょう：

On-demand Mobile Security Training | 8kSec Academy8kSec Academy