Изследователите на FireEye Тао Уей и Юлонг Джан демонстриран на конференцията Black Hat как хакерите могат дистанционно да откраднат пръстови отпечатъци, без собственикът на устройството изобщо да разбере за това. Още по-опасно е, че това може да се направи в „голям мащаб“.
Препоръчани видеоклипове
Актуализирано на 08-11-2015 от Робърт Назарян: Добавено в коментари от HTC, Samsung и Yulong Zhang.
Свързахме се с HTC и Samsung, за да потвърдим, че корекциите са издадени както за HTC One Max, така и за Galaxy S5. Също така попитахме Samsung дали Galaxy S6, Galaxy S6 Edge, или всякакви други устройства имат същата уязвимост.
„Вече разгледахме проблема за HTC One Max и той не засяга други устройства на HTC.“
Въз основа на следния коментар от HTC, ние сме уверени, че всички версии на оператора на One Max са били коригирани:
„HTC е наясно с доклада на FireEye относно сигурността на скенера за пръстови отпечатъци. Вече разгледахме проблема за HTC One Max във всички региони и той не засяга други устройства на HTC. Както винаги, HTC приема проблемите със сигурността много сериозно и ги прави основен приоритет.“
Коментарът на Samsung не споменава актуализация на корекция, но показва, че всички телефони Galaxy S5 са безопасни:
„Samsung приема много сериозно сигурността на пръстовите отпечатъци и сме запознати с доклада на FireEye за уязвимост на сензора за пръстови отпечатъци. След задълбочен преглед с FireEye беше установено, че всички данни на потребителите на Galaxy S5 остават в безопасност.
За съжаление Samsung не спомена статуса на Galaxy S6, Galaxy S6 Edge или други телефони, които имат сензори за пръстови отпечатъци. Отново се свързахме с компанията и ще актуализираме тази публикация, когато получим отговор.
„След задълбочен преглед с FireEye беше установено, че данните на всички потребители на Galaxy S5 остават в безопасност.“
Също така се свързахме с Yulong Zhang и го попитахме за Galaxy S6, Galaxy S6 Edge или други телефони, които може да са уязвими на атаката на сензора за пръстови отпечатъци. За съжаление, той не можа да даде представа дали влияе върху други устройства.
Джан повтори, че iPhone не е уязвим, тъй като данните за пръстови отпечатъци са криптирани. Ябълка закупи AuthenTec през 2012 г, който предоставя сензорите за пръстови отпечатъци за iPhone. Собствеността на Apple в компанията улеснява контрола на сигурността, докато Samsung и др Android производителите са оставени на милостта на хардуерни компании на трети страни.
Поправката на HTC и Samsung включва заключване на сензорите за пръстови отпечатъци, но данните остават некриптирани поради хардуерни ограничения. Производителите на Android вероятно ще могат да осигурят хардуер, който им позволява да криптират данни за пръстови отпечатъци в бъдеще.
С цялата тази негативност около сензорите за пръстови отпечатъци, Джан все още смята, че използването им е най-добрият начин за защита на телефони и таблети. Пръстовите отпечатъци не могат да бъдат отгатнати, но паролите могат, особено за тези, които използват прости ПИН кодове като 1234.
Какво представлява шпионската атака на сензора за пръстови отпечатъци?
„Шпионската атака на сензора за пръстови отпечатъци“ работи с телефони Samsung, HTC и Huawei. Според Wei и Zhang някои производители не успяват да блокират сензора за пръстови отпечатъци. Очевидно някои се пазят само от привилегии на системно ниво вместо root, което улеснява хакването. Повечето софтуери, свързани със сигурността, изискват root достъп, което прави по-сложно за хакерите да осуетят.
Не беше обяснено как хакерът всъщност получава достъп до самия сензор за пръстови отпечатъци, но атакуващият може да продължи да чете пръстови отпечатъци през целия живот на телефона, след като атаката е налице.
Също така беше показано, че чрез различна атака, „объркана атака за авторизация“, как един хакер може да осигури фалшив заключващ екран, който всъщност би позволил паричен превод във фонов режим, след като пръстовият отпечатък е направен приет. Докладът обаче не посочва дали някои настоящи телефони всъщност са уязвими на този тип атака.
Получаването на пръстов отпечатък може да бъде много сериозно, тъй като те се използват не само за отключване на устройството, но и за извършване на мобилни плащания и банкови транзакции. Пръстовите отпечатъци също са свързани с вас лично и очевидно не могат да бъдат променени или променени.
Не е ясно колко паникьосани трябва да сте по този въпрос. Уей и Джан демонстрираха шпионската атака на сензора за пръстови отпечатъци на по-старите Samsung Galaxy S5 и HTC One Max, но не споменаха дали по-новите Galaxy S6 или Galaxy S6 Edge имат същата уязвимост. Освен това докладът показва, че и Samsung, и HTC са издали корекции, след като са били уведомени за уязвимостта.
Сега, ако случайно сте потребител на iPhone, ще се радвате да знаете, че Apple върши по-добра работа при криптирането на данните за пръстови отпечатъци от скенера. Добрата новина е, че Google внедрява поддръжка за защита на пръстови отпечатъци Android M, така че е вероятно да бъде по-сигурен на всички телефони с Android, които се движат напред. Говорейки за това, Wei и Zhang препоръчват на потребителите винаги да купуват най-новите телефони с най-новия софтуер за по-добра защита.
Препоръки на редакторите
- Има голям проблем с новите Android таблети на Samsung
- Този основен бъг на Apple може да позволи на хакерите да откраднат вашите снимки и да изтрият устройството ви
- Тези над 80 приложения може да изпълняват рекламен софтуер на вашето устройство iPhone или Android
- Android краде една от най-добрите функции на iPhone за безжични слушалки
- Samsung спаси телефона ви от неприятен проблем със сигурността
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
