MASTG-TEST-0018 生体認証のテスト (Testing Biometric Authentication)
概要
静的解析
バイオメトリックサポートを提供するベンダーやサードパーティーの SDK はかなりありますが、個別の危険性があることに注意します。サードパーティー SDK を使用して機密性の高い認証ロジックを処理する場合は十分に気を付けてください。
動的解析
この詳細な Android KeyStore と生体認証に関するブログ記事 をご覧ください。この調査には生体認証のセキュアではない実装をテストし、バイパスできるかどうかを試みることができる二つの Frida スクリプトが含まれています。
Fingerprint bypass: この Frida スクリプトは
BiometricPrompt
クラスのauthenticate
メソッドでCryptoObject
が使用されていない場合に認証をバイパスします。認証の実装はonAuthenticationSucceded
コールバックがコールされることに依存しています。Fingerprint bypass via exception handling: この Frida スクリプトは
CryptoObject
が使用されているが正しくない方法で使用されている場合に認証のバイパスを試みます。詳細な説明はブログ記事の "Crypto Object Exception Handling" セクションにあります。
Last updated
Was this helpful?