Bypass Biometric Authentication (Android)
Method 1 - 암호 객체 사용 없이 우회하기
여기서 주목해야 할 것은 인증 프로세스에서 중요한 onAuthenticationSucceeded 콜백입니다. WithSecure의 연구원들은 *onAuthenticationSucceeded(...)*에서 NULL CryptoObject를 우회할 수 있는 Frida 스크립트를 개발했습니다. 이 스크립트는 해당 메서드가 호출될 때 지문 인증을 자동으로 우회하도록 강제합니다. 아래는 Android 지문 컨텍스트에서 우회를 보여주는 간소화된 코드 스니펫입니다. 전체 애플리케이션은 GitHub에서 확인할 수 있습니다.
Frida 스크립트를 실행하는 명령어:
Method 2 - 예외 처리 접근 방식
다른 Frida 스크립트인 WithSecure의 스크립트는 보안이 취약한 암호 객체 사용 우회에 대해 다룹니다. 이 스크립트는 지문으로 인증되지 않은 CryptoObject를 사용하여 onAuthenticationSucceeded를 호출합니다. 애플리케이션이 다른 암호 객체를 사용하려고 하면 예외가 발생합니다. 이 스크립트는 Cipher 클래스에서 javax.crypto.IllegalBlockSizeException을 처리하고 onAuthenticationSucceeded를 호출하며, 애플리케이션이 사용하는 후속 객체가 새 키로 암호화되도록 준비합니다.
Frida 스크립트를 실행하는 명령어:
지문 화면에 도달하고 authenticate()가 시작되면, Frida 콘솔에서 bypass()를 입력하여 우회를 활성화하세요:
메소드 3 - Instrumentation Frameworks
Xposed 또는 Frida와 같은 Instrumentation 프레임워크를 사용하여 런타임에서 애플리케이션 메소드에 훅을 걸 수 있습니다. 지문 인증에 대해서는 이러한 프레임워크를 사용하여 다음을 수행할 수 있습니다:
인증 콜백 모의:
BiometricPrompt.AuthenticationCallback의onAuthenticationSucceeded,onAuthenticationFailed, 또는onAuthenticationError메소드에 훅을 걸어 지문 인증 프로세스의 결과를 제어할 수 있습니다.SSL Pinning 우회: 이를 통해 공격자는 클라이언트와 서버 간의 트래픽을 가로채고 수정하여 인증 프로세스를 변경하거나 민감한 데이터를 탈취할 수 있습니다.
Frida의 예시 명령어:
메소드 4 - 역공학 및 코드 수정
APKTool, dex2jar, JD-GUI와 같은 역공학 도구를 사용하여 Android 애플리케이션을 디컴파일하고 소스 코드를 읽어들여 인증 메커니즘을 이해할 수 있습니다. 일반적으로 다음 단계를 포함합니다:
APK 디컴파일: APK 파일을 더 읽기 쉬운 형식(예: Java 코드)으로 변환합니다.
코드 분석: 지문 인증의 구현을 찾고 대체 메커니즘이나 적절한 유효성 검사 확인과 같은 잠재적인 취약점을 식별합니다.
APK 재컴파일: 지문 인증 우회를 위해 코드를 수정한 후, 애플리케이션을 재컴파일하고 서명하여 기기에 설치하여 테스트합니다.
메소드 5 - 사용자 정의 인증 도구 사용
인증 메커니즘을 테스트하고 우회하기 위해 특수한 도구와 스크립트가 있습니다. 예를 들어:
MAGISK 모듈: MAGISK는 Android에서 기기를 루팅하고 지문을 포함한 하드웨어 수준의 정보를 수정하거나 위조할 수 있는 모듈을 추가할 수 있는 도구입니다.
사용자 정의 스크립트: 스크립트를 작성하여 Android Debug Bridge (ADB) 또는 애플리케이션의 백엔드와 직접 상호작용하여 지문 인증을 시뮬레이션하거나 우회할 수 있습니다.
참고 자료
Last updated