バイオメトリックサポートを提供するベンダーやサードパーティーの SDK はかなりありますが、個別の危険性があることに注意します。サードパーティー SDK を使用して機密性の高い認証ロジックを処理する場合は十分に気を付けてください。
この詳細な Android KeyStore と生体認証に関するブログ記事arrow-up-right をご覧ください。この調査には生体認証のセキュアではない実装をテストし、バイパスできるかどうかを試みることができる二つの Frida スクリプトが含まれています。
Fingerprint bypassarrow-up-right: この Frida スクリプトは BiometricPrompt クラスの authenticate メソッドで CryptoObject が使用されていない場合に認証をバイパスします。認証の実装は onAuthenticationSucceded コールバックがコールされることに依存しています。
BiometricPrompt
authenticate
CryptoObject
onAuthenticationSucceded
Fingerprint bypass via exception handlingarrow-up-right: この Frida スクリプトは CryptoObject が使用されているが正しくない方法で使用されている場合に認証のバイパスを試みます。詳細な説明はブログ記事の "Crypto Object Exception Handling" セクションにあります。
Last updated 6 months ago