maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/mobile-pentesting/android-app-pentesting/bypass-biometr

Browse Source
This commit is contained in:
Translator 2025-07-28 10:28:08 +00:00
parent 0703079daf
commit 2c51e79d57
1 changed files with 48 additions and 2 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

50
src/mobile-pentesting/android-app-pentesting/bypass-biometric-authentication-android.md
View File

@ -2,6 +2,7 @@
{{#include ../../banners/hacktricks-training.md}}
## **Método 1 Bypass sem Uso de Objeto Crypto**
O foco aqui está no callback _onAuthenticationSucceeded_, que é crucial no processo de autenticação. Pesquisadores da WithSecure desenvolveram um [script Frida](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js), permitindo o bypass do _CryptoObject_ NULL em _onAuthenticationSucceeded(...)_. O script força um bypass automático da autenticação por impressão digital ao invocar o método. Abaixo está um trecho simplificado demonstrando o bypass em um contexto de Impressão Digital Android, com a aplicação completa disponível no [GitHub](https://github.com/St3v3nsS/InsecureBanking).
@ -19,7 +20,7 @@ frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-byp
```
## **Método 2 Abordagem de Tratamento de Exceções**
Outro [Frida script](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass-via-exception-handling.js) da WithSecure aborda a contornação do uso inseguro de objetos criptográficos. O script invoca _onAuthenticationSucceeded_ com um _CryptoObject_ que não foi autorizado por uma impressão digital. Se o aplicativo tentar usar um objeto de cifra diferente, isso acionará uma exceção. O script se prepara para invocar _onAuthenticationSucceeded_ e tratar a _javax.crypto.IllegalBlockSizeException_ na classe _Cipher_, garantindo que os objetos subsequentes usados pelo aplicativo sejam criptografados com a nova chave.
Outro [Frida script](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass-via-exception-handling.js) da WithSecure aborda a contornagem do uso inseguro de objetos criptográficos. O script invoca _onAuthenticationSucceeded_ com um _CryptoObject_ que não foi autorizado por uma impressão digital. Se o aplicativo tentar usar um objeto de cifra diferente, isso acionará uma exceção. O script se prepara para invocar _onAuthenticationSucceeded_ e tratar a _javax.crypto.IllegalBlockSizeException_ na classe _Cipher_, garantindo que os objetos subsequentes usados pelo aplicativo sejam criptografados com a nova chave.
Comando para executar o script Frida:
```bash
@ -59,9 +60,54 @@ Existem ferramentas e scripts especializados projetados para testar e contornar
1. **Módulos MAGISK**: MAGISK é uma ferramenta para Android que permite aos usuários fazer root em seus dispositivos e adicionar módulos que podem modificar ou falsificar informações em nível de hardware, incluindo impressões digitais.
2. **Scripts Personalizados**: Scripts podem ser escritos para interagir com o Android Debug Bridge (ADB) ou diretamente com o backend do aplicativo para simular ou contornar a autenticação por impressão digital.
---
## **Método 6 Hook Frida Universal para `BiometricPrompt` (API 28-34)**
Em 2023, um script Frida da comunidade chamado **Universal-Android-Biometric-Bypass** apareceu no CodeShare. O script intercepta todas as sobrecargas de `BiometricPrompt.authenticate()` assim como o legado `FingerprintManager.authenticate()` e aciona diretamente `onAuthenticationSucceeded()` com um **`AuthenticationResult` fabricado contendo um `CryptoObject` nulo**. Como se adapta dinamicamente aos níveis de API, ainda funciona no Android 14 (API 34) se o aplicativo alvo não realizar **verificações criptográficas no `CryptoObject` retornado**.
```bash
# Install the script from CodeShare and run it against the target package
frida -U -f com.target.app --no-pause -l universal-android-biometric-bypass.js
```
Key ideas
* Tudo acontece no espaço do usuário nenhum exploit de kernel ou root é necessário.
* O ataque permanece totalmente silencioso para a UI: o diálogo biométrico do sistema nunca aparece.
* Mitigação: **sempre verifique `result.cryptoObject` e seu cifrador/assinatura antes de desbloquear recursos sensíveis**.
## **Method 7 Downgrade / Fallback Manipulation**
A partir do Android 11, os desenvolvedores podem especificar quais autenticadores são aceitáveis através de `setAllowedAuthenticators()` (ou o mais antigo `setDeviceCredentialAllowed()`). Um ataque de **runtime hooking** pode forçar o campo de bits `allowedAuthenticators` para o valor mais fraco `BIOMETRIC_WEAK | DEVICE_CREDENTIAL`:
```javascript
// Frida one-liner replace strong-only policy with weak/device-credential
var PromptInfoBuilder = Java.use('androidx.biometric.BiometricPrompt$PromptInfo$Builder');
PromptInfoBuilder.setAllowedAuthenticators.implementation = function(flags){
return this.setAllowedAuthenticators(0x0002 | 0x8000); // BIOMETRIC_WEAK | DEVICE_CREDENTIAL
};
```
Se o aplicativo **não** validar posteriormente o `AuthenticationResult` retornado, um atacante pode simplesmente pressionar o botão de fallback _PIN/Pattern_ ou até mesmo registrar uma nova biometria fraca para obter acesso.
## **Método 8 CVEs de Nível de Fornecedor / Kernel**
Fique atento aos boletins de segurança do Android: vários bugs recentes do lado do kernel permitem escalonamento de privilégios local através do HAL de impressão digital e efetivamente **desativam ou encurtam o pipeline do sensor**. Exemplos incluem:
* **CVE-2023-20995** erro de lógica em `captureImage` de `CustomizedSensor.cpp` (Pixel 8, Android 13) permitindo a bypass de desbloqueio sem interação do usuário.
* **CVE-2024-53835 / CVE-2024-53840** “possível bypass biométrico devido a uma causa raiz incomum” corrigido no **boletim de Pixel de dezembro de 2024**.
Embora essas vulnerabilidades visem a tela de bloqueio, um testador com root pode encadeá-las com falhas em nível de aplicativo para contornar biométricas dentro do aplicativo também.
---
### Lista de Verificação de Fortalecimento para Desenvolvedores (Notas Rápidas para Pentester)
* Aplique `setUserAuthenticationRequired(true)` e `setInvalidatedByBiometricEnrollment(true)` ao gerar chaves do **Keystore**. Uma biometria válida é então necessária antes que a chave possa ser usada.
* Rejeite um `CryptoObject` com **null ou cifra / assinatura inesperada**; trate isso como um erro fatal de autenticação.
* Ao usar `BiometricPrompt`, prefira `BIOMETRIC_STRONG` e **nunca recorra a `BIOMETRIC_WEAK` ou `DEVICE_CREDENTIAL`** para ações de alto risco.
* Fixe a versão mais recente do `androidx.biometric` (≥1.2.0-beta02) lançamentos recentes adicionam verificações automáticas de cifra nula e restringem combinações de autenticadores permitidas.
## Referências
- [https://securitycafe.ro/2022/09/05/mobile-pentesting-101-bypassing-biometric-authentication/](https://securitycafe.ro/2022/09/05/mobile-pentesting-101-bypassing-biometric-authentication/)
- [Universal Android Biometric Bypass Frida CodeShare](https://codeshare.frida.re/@ax/universal-android-biometric-bypass/)
- [Android Pixel Security Bulletin 2024-12-01](https://source.android.com/security/bulletin/pixel/2024-12-01)
{{#include ../../banners/hacktricks-training.md}}