MASTG-TEST-0018: Teste de Autenticação Biométrica

Visão Geral

Análise Estática

Observe que existem diversos SDKs de fornecedores/terceiros que oferecem suporte biométrico, mas que possuem suas próprias inseguranças. Seja muito cauteloso ao usar SDKs de terceiros para lidar com lógica de autenticação sensível.

Análise Dinâmica

Por favor, consulte este artigo detalhado sobre o Android KeyStore e autenticação biométrica. Esta pesquisa inclui dois scripts Frida que podem ser usados para testar implementações inseguras de autenticação biométrica e tentar contorná-las:

• Bypass de impressão digital: Este script Frida contornará a autenticação quando o CryptoObject não for usado no método authenticate da classe BiometricPrompt. A implementação da autenticação depende do callback onAuthenticationSucceded ser chamado.
• Bypass de impressão digital via tratamento de exceções: Este script Frida tentará contornar a autenticação quando o CryptoObject for usado, mas de forma incorreta. A explicação detalhada pode ser encontrada na seção "Crypto Object Exception Handling" no artigo do blog.