hacktricks/mobile-pentesting/android-app-pentesting/bypass-biometric-authentication-android.md

Bypass Biometric Authentication (Android)

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

• 사이버 보안 회사에서 일하시나요? 회사를 HackTricks에서 광고하거나 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? SUBSCRIPTION PLANS를 확인해보세요!
• The PEASS Family를 발견해보세요. 독점적인 NFTs 컬렉션입니다.
• 공식 PEASS & HackTricks 스웨그를 얻으세요.
• 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter에서 팔로우하세요 🐦@carlospolopm.
• **hacktricks repo와 hacktricks-cloud repo**에 PR을 제출하여 여러분의 해킹 기법을 공유하세요.

Method 1 - 암호 객체 사용 없이 우회하기

여기서 주목해야 할 것은 인증 프로세스에서 중요한 onAuthenticationSucceeded 콜백입니다. WithSecure의 연구원들은 *onAuthenticationSucceeded(...)*에서 NULL _CryptoObject_를 우회할 수 있는 Frida 스크립트를 개발했습니다. 이 스크립트는 해당 메서드가 호출될 때 지문 인증을 자동으로 우회하도록 강제합니다. 아래는 Android 지문 컨텍스트에서 우회를 보여주는 간소화된 코드 스니펫입니다. 전체 애플리케이션은 GitHub에서 확인할 수 있습니다.

biometricPrompt = new BiometricPrompt(this, executor, new BiometricPrompt.AuthenticationCallback() {
@Override
public void onAuthenticationSucceeded(@NonNull BiometricPrompt.AuthenticationResult result) {
Toast.makeText(MainActivity.this,"Success",Toast.LENGTH_LONG).show();
}
});

Frida 스크립트를 실행하는 명령어:

frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-bypass.js

Method 2 - 예외 처리 접근 방식

다른 Frida 스크립트인 WithSecure의 스크립트는 보안이 취약한 암호 객체 사용 우회에 대해 다룹니다. 이 스크립트는 지문으로 인증되지 않은 _CryptoObject_를 사용하여 _onAuthenticationSucceeded_를 호출합니다. 애플리케이션이 다른 암호 객체를 사용하려고 하면 예외가 발생합니다. 이 스크립트는 Cipher 클래스에서 _javax.crypto.IllegalBlockSizeException_을 처리하고 _onAuthenticationSucceeded_를 호출하며, 애플리케이션이 사용하는 후속 객체가 새 키로 암호화되도록 준비합니다.

Frida 스크립트를 실행하는 명령어:

frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-bypass-via-exception-handling.js

지문 화면에 도달하고 authenticate()가 시작되면, Frida 콘솔에서 bypass()를 입력하여 우회를 활성화하세요:

Spawning com.generic.insecurebankingfingerprint...
[Android Emulator 5554::com.generic.insecurebankingfingerprint]-> Hooking BiometricPrompt.authenticate()...
Hooking BiometricPrompt.authenticate2()...
Hooking FingerprintManager.authenticate()...
[Android Emulator 5554::com.generic.insecurebankingfingerprint]-> bypass()

메소드 3 - Instrumentation Frameworks

Xposed 또는 Frida와 같은 Instrumentation 프레임워크를 사용하여 런타임에서 애플리케이션 메소드에 훅을 걸 수 있습니다. 지문 인증에 대해서는 이러한 프레임워크를 사용하여 다음을 수행할 수 있습니다:

1. 인증 콜백 모의: BiometricPrompt.AuthenticationCallback의 onAuthenticationSucceeded, onAuthenticationFailed, 또는 onAuthenticationError 메소드에 훅을 걸어 지문 인증 프로세스의 결과를 제어할 수 있습니다.
2. SSL Pinning 우회: 이를 통해 공격자는 클라이언트와 서버 간의 트래픽을 가로채고 수정하여 인증 프로세스를 변경하거나 민감한 데이터를 탈취할 수 있습니다.

Frida의 예시 명령어:

frida -U -l script-to-bypass-authentication.js --no-pause -f com.generic.in

메소드 4 - 역공학 및 코드 수정

APKTool, dex2jar, JD-GUI와 같은 역공학 도구를 사용하여 Android 애플리케이션을 디컴파일하고 소스 코드를 읽어들여 인증 메커니즘을 이해할 수 있습니다. 일반적으로 다음 단계를 포함합니다:

1. APK 디컴파일: APK 파일을 더 읽기 쉬운 형식(예: Java 코드)으로 변환합니다.
2. 코드 분석: 지문 인증의 구현을 찾고 대체 메커니즘이나 적절한 유효성 검사 확인과 같은 잠재적인 취약점을 식별합니다.
3. APK 재컴파일: 지문 인증 우회를 위해 코드를 수정한 후, 애플리케이션을 재컴파일하고 서명하여 기기에 설치하여 테스트합니다.

메소드 5 - 사용자 정의 인증 도구 사용

인증 메커니즘을 테스트하고 우회하기 위해 특수한 도구와 스크립트가 있습니다. 예를 들어:

1. MAGISK 모듈: MAGISK는 Android에서 기기를 루팅하고 지문을 포함한 하드웨어 수준의 정보를 수정하거나 위조할 수 있는 모듈을 추가할 수 있는 도구입니다.
2. 사용자 정의 스크립트: 스크립트를 작성하여 Android Debug Bridge (ADB) 또는 애플리케이션의 백엔드와 직접 상호작용하여 지문 인증을 시뮬레이션하거나 우회할 수 있습니다.

참고 자료

• https://securitycafe.ro/2022/09/05/mobile-pentesting-101-bypassing-biometric-authentication/

htARTE (HackTricks AWS Red Team Expert)를 통해 제로에서 영웅까지 AWS 해킹을 배워보세요!

• 사이버 보안 회사에서 일하시나요? 회사를 HackTricks에서 광고하거나 PEASS의 최신 버전에 액세스하거나 HackTricks를 PDF로 다운로드하고 싶으신가요? 구독 플랜을 확인해보세요!
• The PEASS Family를 발견해보세요. 독점적인 NFT 컬렉션입니다.
• 공식 PEASS & HackTricks 스웨그를 얻으세요.
• 💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter에서 팔로우하세요 🐦@carlospolopm.
• **hacktricks repo와 hacktricks-cloud repo**에 PR을 제출하여 여러분의 해킹 기법을 공유하세요.