អ្នកស្រាវជ្រាវបានរកឃើញបច្ចេកទេសវាយប្រហារដែលអាចត្រូវបានលួចយកស្នាមក្រយ៉ៅដៃ (brute-force fingerprints) នៅលើទូរសព័្ទដើម្បីឆ្លងកាត់ការផ្ទៀងផ្ទាត់ និងគ្រប់គ្រងលើទូរស័ព្ទរបស់ជនរងគ្រោះបាន។គន្លឹះសំខាន់មានឈ្មោះថា BrutePrint អាចឆ្លងកាត់ការផ្ទៀងផ្ទាត់បែបជីវសាស្រ្ត ដោយប្រើបញ្ហា zero-day នៅក្នុងគ្រោងការណ៍ផ្ទៀងផ្ទាត់ស្នាមម្រាមដៃលើទូរស័ព្ទ (SFA)។ បញ្ហា Cancel-After-Match-Fail (CAMF) and Match-After-Lock (MAL) មានបញ្ហានៅក្នុងការផ្ទៀងផ្ទាត់ ដែលលើកឡើងដោយសារការការពារមិនគ្រប់គ្រាន់នៃទិន្នន័យស្នាមម្រាមដៃនៅលើ Serial Peripheral Interface (SPI) of fingerprint sensors។
លទ្ធផលគឺ គន្លឹះនៅត្រង់ផ្នែករឹងជាអ្នកធ្វើការវាយប្រហារដោយ man in the middle (MitM) សម្រាប់ការលួចរូបភាពស្នាមម្រាមដៃ បើយោងតាមអ្នកស្រាវជ្រាវបានបញ្ជាក់។ BrutePrint ដើរតួជា middleman រវាង fingerprint sensor និង TEE (Trusted Execution Environment)។ វាអាចដំណើរការលេខគ្មានដែនកំណត់នៃការដាក់ស្នើស្នាមម្រាមដៃរហូតត្រូវគ្នា។
អ្នកស្រាវជ្រាវបានពន្យល់ថា ទោះជា lockout mode បានឆែកនៅក្នុង Keyguard ដើម្បីបិទការដោះសោក្តី លទ្ធផលការផ្ទៀងផ្ទាត់អាចត្រូវបានធ្វើឡើងតាមរយៈ TEE។ លទ្ធផលការផ្ទៀងផ្ទាត់ជោគជ័យគឺកើតមាននៅពេលគម្រូត្រូវគ្នាបានជួបគ្នា វាអាចជា side channel attack ដើម្បីបង្កប់ពីឥរិយាបថដូចជា ពេលឆ្លើយតប និងចំនួនរូបភាពដែលត្រូវការ។ BrutePrint ត្រូវបានវាយតម្លៃថាប្រឆាំងនឹងមូ៉ឌែលទូរស័ព្ទ១០ផ្សេងគ្នាមកពី Apple, Huawei, OnePlus, OPPO, Samsung, Xiaomi, and vivo ដែលប្រើប្រព័ន្ធ Android និង HarmonyOS និង បន្ថែមចំនួន១០ នៅលើឧបករណ៍ iOS។ លទ្ធផលស្រាវជ្រាវមកជាមួយក្រុមវិភាគថាការកេងចំណេញនៃ ល្បឿនប្រតិបត្តិការ ការប្រើភ្លើង និងសីតុណ្ហភាព នៅក្នុងប្រព័ន្ធនៅលើឆីប (SoCs) និង GPUs ដើម្បីលួច browser based pixels និងប្រវត្តិ sniffing attacks ប្រឆាំងនឹង Chrome 108 and Safari 16.2m។ ការវាយប្រហារឈ្មោះថា Hot Pixels បានទាញយកប្រយោជន៍ពីរឿងនេះ ហើយប្រមូលការវាយប្រហារដោយស្នាមម្រាមដៃនៅលើគេហទំព័រ និងប្រើ JavaScript code ដើម្បីប្រមូលប្រវត្តិ browsing របស់អ្នកប្រើប្រាស់។
ការវាយប្រហារដែលជោគជ័យត្រូវបានធ្វើឡើងដោយ SVG filter ដោយការវាស់វែងពេលវេលាអ្នកផ្គត់ផ្គង់ និងលួចប្រមូលព័ត៌មានជាមួយនឹងអត្រាត្រឹមត្រូវខ្ពស់រហូតដល់ ៩៤ភាគរយ។ បញ្ហានេះបានទទួលស្គាល់ដោយក្រុមហ៊ុន Apple, Google, AMD, Intel, Nvidia និង Qualcomm។ អ្នកស្រាវជ្រាវក៏បានផ្តល់ការណែនាំ ដោយហាម SVG filters មិនឱ្យប្រើនៅក្នុង iframes ឬ hyperlinks និងការពារសិទ្ធិមិនឱ្យចូលប្រើ sensor readings។ BrutePrint និង Hot Pixels ក៏ធ្វើតាមការរកឃើញរបស់ Google អំពីបញ្ហាសុវត្ថិភាពចំនួន១០ នៅក្នុង Intel’s Trust Domain Extensions (TDX) ដែលអាចនាំឱ្យមានការបញ្ជាកូដតាមចិត្ត បង្កើតលក្ខខណ្ឌ DoS និងបាត់បង់គុណភាព (integrity)៕
