hacktricks/mobile-pentesting/android-app-pentesting/bypass-biometric-authentication-android.md
2024-12-12 13:56:11 +01:00

103 lines
7.8 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Bypass Biometric Authentication (Android)
{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
</details>
{% endhint %}
<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
Aprofunde sua experiência em **Mobile Security** com a 8kSec Academy. Domine a segurança de iOS e Android através de nossos cursos autoguiados e obtenha certificação:
{% embed url="https://academy.8ksec.io/" %}
## **Método 1 Bypass sem Uso de Crypto Object**
O foco aqui está no callback *onAuthenticationSucceeded*, que é crucial no processo de autenticação. Pesquisadores da WithSecure desenvolveram um [script Frida](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass.js), permitindo o bypass do *CryptoObject* NULL em *onAuthenticationSucceeded(...)*. O script força um bypass automático da autenticação por impressão digital ao invocar o método. Abaixo está um trecho simplificado demonstrando o bypass em um contexto de Impressão Digital Android, com a aplicação completa disponível no [GitHub](https://github.com/St3v3nsS/InsecureBanking).
```javascript
biometricPrompt = new BiometricPrompt(this, executor, new BiometricPrompt.AuthenticationCallback() {
@Override
public void onAuthenticationSucceeded(@NonNull BiometricPrompt.AuthenticationResult result) {
Toast.makeText(MainActivity.this,"Success",Toast.LENGTH_LONG).show();
}
});
```
Comando para executar o script Frida:
```bash
frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-bypass.js
```
## **Método 2 Abordagem de Tratamento de Exceções**
Outro [script Frida](https://github.com/WithSecureLABS/android-keystore-audit/blob/master/frida-scripts/fingerprint-bypass-via-exception-handling.js) da WithSecure aborda a contornação do uso inseguro de objetos criptográficos. O script invoca *onAuthenticationSucceeded* com um *CryptoObject* que não foi autorizado por uma impressão digital. Se o aplicativo tentar usar um objeto de cifra diferente, isso acionará uma exceção. O script se prepara para invocar *onAuthenticationSucceeded* e tratar a *javax.crypto.IllegalBlockSizeException* na classe _Cipher_, garantindo que os objetos subsequentes usados pelo aplicativo sejam criptografados com a nova chave.
Comando para executar o script Frida:
```bash
frida -U -f com.generic.insecurebankingfingerprint --no-pause -l fingerprint-bypass-via-exception-handling.js
```
Ao chegar na tela de impressão digital e na iniciação de `authenticate()`, digite `bypass()` no console do Frida para ativar o bypass:
```
Spawning com.generic.insecurebankingfingerprint...
[Android Emulator 5554::com.generic.insecurebankingfingerprint]-> Hooking BiometricPrompt.authenticate()...
Hooking BiometricPrompt.authenticate2()...
Hooking FingerprintManager.authenticate()...
[Android Emulator 5554::com.generic.insecurebankingfingerprint]-> bypass()
```
## **Método 3 Frameworks de Instrumentação**
Frameworks de instrumentação como Xposed ou Frida podem ser usados para interceptar métodos de aplicativos em tempo de execução. Para autenticação por impressão digital, esses frameworks podem:
1. **Simular os Callbacks de Autenticação**: Ao interceptar os métodos `onAuthenticationSucceeded`, `onAuthenticationFailed` ou `onAuthenticationError` do `BiometricPrompt.AuthenticationCallback`, você pode controlar o resultado do processo de autenticação por impressão digital.
2. **Contornar o SSL Pinning**: Isso permite que um atacante intercepte e modifique o tráfego entre o cliente e o servidor, potencialmente alterando o processo de autenticação ou roubando dados sensíveis.
Exemplo de comando para Frida:
```bash
frida -U -l script-to-bypass-authentication.js --no-pause -f com.generic.in
```
## **Método 4 Engenharia Reversa & Modificação de Código**
Ferramentas de engenharia reversa como `APKTool`, `dex2jar` e `JD-GUI` podem ser usadas para descompilar um aplicativo Android, ler seu código-fonte e entender seu mecanismo de autenticação. Os passos geralmente incluem:
1. **Descompilando o APK**: Converter o arquivo APK para um formato mais legível por humanos (como código Java).
2. **Analisando o Código**: Procurar pela implementação da autenticação por impressão digital e identificar possíveis fraquezas (como mecanismos de fallback ou verificações de validação inadequadas).
3. **Recompilando o APK**: Após modificar o código para contornar a autenticação por impressão digital, o aplicativo é recompilado, assinado e instalado no dispositivo para testes.
## **Método 5 Usando Ferramentas de Autenticação Personalizadas**
Existem ferramentas e scripts especializados projetados para testar e contornar mecanismos de autenticação. Por exemplo:
1. **Módulos MAGISK**: MAGISK é uma ferramenta para Android que permite aos usuários fazer root em seus dispositivos e adicionar módulos que podem modificar ou falsificar informações em nível de hardware, incluindo impressões digitais.
2. **Scripts Personalizados**: Scripts podem ser escritos para interagir com o Android Debug Bridge (ADB) ou diretamente com o backend do aplicativo para simular ou contornar a autenticação por impressão digital.
## Referências
* [https://securitycafe.ro/2022/09/05/mobile-pentesting-101-bypassing-biometric-authentication/](https://securitycafe.ro/2022/09/05/mobile-pentesting-101-bypassing-biometric-authentication/)
<figure><img src="/.gitbook/assets/image (2).png" alt=""><figcaption></figcaption></figure>
Aprofunde sua experiência em **Segurança Móvel** com a 8kSec Academy. Domine a segurança de iOS e Android através de nossos cursos autoguiados e obtenha certificação:
{% embed url="https://academy.8ksec.io/" %}
{% hint style="success" %}
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
<details>
<summary>Support HackTricks</summary>
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
{% endhint %}