Bypass Biometric Authentication (Android)
**विधि 1 – कोई क्रिप्टो ऑब्ज
फ्रिडा स्क्रिप्ट चलाने के लिए कमांड:
तकनीक 2 – अपवाद हैंडलिंग दृष्टिकोण
एक और Frida स्क्रिप्ट WithSecure द्वारा असुरक्षित क्रिप्टो ऑब्जेक्ट उपयोग को छोड़ने पर ध्यान देता है। स्क्रिप्ट onAuthenticationSucceeded को एक CryptoObject के साथ आमंत्रित करता है जिसे एक उंगली के साथ अधिकृत नहीं किया गया है। यदि एप्लिकेशन एक विभिन्न साइफर ऑब्ज
अंगुली प्रिंट स्क्रीन तक पहुंचने पर और authenticate()
की शुरुआत करने पर, Frida कंसोल में bypass()
टाइप करें ताकि बायपास सक्रिय हो जाए:
तकनीक 3 – उपकरण फ्रेमवर्क
Xposed या Frida जैसे उपकरण फ्रेमवर्क का उपयोग अनुप्रयोग विधियों में रनटाइम पर उक्तान करने के लिए किया जा सकता है। उंगलियों के निर्देशन के लिए, ये फ्रेमवर्क निम्नलिखित कार्य कर सकते हैं:
प्रमाणीकरण कॉलबैक्स का मॉक बनाना:
BiometricPrompt.AuthenticationCallback
केonAuthenticationSucceeded
,onAuthenticationFailed
, याonAuthenticationError
विधियों में उक्तान करके, आप उंगलियों के प्रमाणीकरण प्रक्रिया के परिणाम को नियंत्रित कर सकते हैं।SSL पिनिंग को उलट देना: इससे हमलावर को ग्राहक और सर्वर के बीच ट्रैफिक को बाधित और संशोधित करने की अनुमति मिलती है, जिससे प्रमाणीकरण प्रक्रिया में परिवर्तन किया जा सकता है या संवेदनशील डेटा चुराया जा सकता है।
उदाहरण कमांड Frida के लिए:
तकनीक 4 – रिवर्स इंजीनियरिंग और कोड संशोधन
APKTool
, dex2jar
, और JD-GUI
जैसे रिवर्स इंजीनियरिंग उपकरण का उपयोग करके एंड्रॉइड एप्लिकेशन को डीकंपाइल किया जा सकता है, इसके स्रोत कोड को पढ़ा जा सकता है, और इसकी प्रमाणीकरण तंत्र को समझा जा सकता है। चरण सामान्यत:
APK को डीकंपाइल करना: APK फ़ाइल को एक और मानव-पठनीय प्रारूप में रूपांतरित करें (जैसे Java कोड)।
कोड का विश्लेषण: उंगली प्रमाणीकरण के कार्यान्वयन की खोज करें और संभावित कमजोरियों की पहचान करें (जैसे फॉलबैक तंत्र या अनुचित मान्यता की जांच)।
APK को पुनः संयोजित करना: उंगली प्रमाणीकरण को छलकरने के लिए कोड को संशोधित करने के बाद, एप्लिकेशन को पुनः संयोजित, साइन किया जाता है, और डिवाइस पर परीक्षण के लिए स्थापित किया जाता है।
तकनीक 5 – कस्टम प्रमाणीकरण उपकरण का उपयोग करना
प्रमाणीकरण तंत्रों का परीक्षण और छलावा करने के लिए विशेषज्ञ उपकरण और स्क्रिप्ट हैं। उदाहरण के लिए:
MAGISK मॉड्यूल: MAGISK एक उपकरण है जो उपयोगकर्ताओं को उनके डिवाइस को रूट करने और मॉड्यूल जोड़ने की अनुमति देता है जो हार्डवेयर स्तरीय जानकारी, जैसे उंगली को मोडिफ़ाई या छलाने कर सकते हैं।
कस्टम निर्मित स्क्रिप्ट: स्क्रिप्ट लिखे जा सकते हैं जो एंड्रॉइड डीबग ब्रिज (ADB) के साथ या सीधे एप्लिकेशन के बैकएंड के साथ इंटरैक्ट करने के लिए उंगली प्रमाणीकरण को सिमुलेट या छलाने कर सकते हैं।
संदर्भ
Last updated