MASTG-TEST-0018: 测试生物识别认证
此测试即将更新
此测试目前可使用,但将作为新的 OWASP MASTG v2 指南 的一部分进行全面修订。
通过提交 PR 来帮助我们:MASTG v1->v2 MASTG-TEST-0018:测试生物识别认证 (android)
概述¶
静态分析¶
请注意,有很多供应商/第三方 SDK 提供生物识别支持,但它们自身也存在不安全性。使用第三方 SDK 处理敏感的身份验证逻辑时要非常谨慎。
动态分析¶
请查看这篇详细的关于 Android KeyStore 和生物识别认证的博客文章。该研究包含两个 Frida 脚本,可用于测试不安全的生物识别认证实现并尝试绕过它们
- 指纹绕过:当
CryptoObject未在BiometricPrompt类的authenticate方法中使用时,此 Frida 脚本将绕过身份验证。身份验证实现依赖于调用回调onAuthenticationSucceded。 - 通过异常处理绕过指纹:当
CryptoObject被使用,但使用方式不正确时,此 Frida 脚本将尝试绕过身份验证。详细说明可以在博客文章的“Crypto Object Exception Handling”部分找到。