Výzkumníci FireEye Tao Wei a Yulong Zhang demonstroval na konferenci Black Hat jak mohou hackeři na dálku ukrást otisky prstů, aniž by o tom majitel zařízení vůbec věděl. Ještě nebezpečnější je, že to lze provést ve „velkém měřítku“.
Doporučená videa
Aktualizováno dne 8. 11. 2015 Robertem Nazarianem: Přidáno v komentářích od HTC, Samsung a Yulong Zhang.
Oslovili jsme HTC i Samsung, abychom potvrdili, že byly vydány opravy pro HTC One Max a Galaxy S5. Také jsme se zeptali Samsungu, zda Galaxy S6, Galaxy S6 Edge, nebo jakákoli jiná zařízení mají stejnou zranitelnost.
"Problém pro HTC One Max jsme již řešili a neovlivňuje žádná jiná zařízení HTC."
Na základě následujícího komentáře od HTC jsme přesvědčeni, že všechny verze operátora One Max byly opraveny:
„HTC ví o zprávě FireEye o zabezpečení skeneru otisků prstů. Problém pro HTC One Max jsme již řešili ve všech regionech a neovlivňuje žádná jiná zařízení HTC. Jako vždy bere HTC bezpečnostní problémy velmi vážně a činí z nich nejvyšší prioritu.
Komentář společnosti Samsung nezmiňuje aktualizaci opravy, ale naznačuje, že všechny telefony Galaxy S5 jsou bezpečné:
„Samsung bere zabezpečení otisků prstů velmi vážně a jsme si vědomi zprávy FireEye o zranitelnosti snímače otisků prstů. Po důkladné kontrole pomocí FireEye bylo zjištěno, že všechna data uživatelů Galaxy S5 zůstávají v bezpečí.“
Samsung se bohužel nezmínil o stavu Galaxy S6, Galaxy S6 Edge nebo jiných telefonů, které mají snímače otisků prstů. Znovu jsme oslovili společnost a jakmile se ozveme, aktualizujeme tento příspěvek.
"Po důkladné kontrole pomocí FireEye bylo zjištěno, že všechna data uživatelů Galaxy S5 zůstávají v bezpečí."
Také jsme kontaktovali Yulong Zhang a zeptali jsme se ho na Galaxy S6, Galaxy S6 Edge nebo jiné telefony, které by mohly být zranitelné vůči bezpečnostnímu útoku snímače otisků prstů. Bohužel nemohl poskytnout informace o tom, zda to ovlivňuje jiná zařízení.
Zhang zopakoval, že iPhone není zranitelný, protože data otisků prstů jsou šifrována. Jablko koupil AuthenTec v roce 2012, která poskytuje snímače otisků prstů pro iPhone. Vlastnictví společnosti Apple ve společnosti usnadňuje kontrolu zabezpečení, zatímco společnost Samsung a další Android výrobci jsou vydáni na milost a nemilost hardwarových společností třetích stran.
Oprava HTC a Samsung zahrnuje uzamčení snímačů otisků prstů, ale data zůstávají nešifrovaná kvůli hardwarovým omezením. Výrobci Androidu budou pravděpodobně v budoucnu schopni zabezpečit hardware, který jim umožní šifrovat data o otiscích prstů.
Se vší tou negativitou kolem snímačů otisků prstů má Zhang stále pocit, že jejich používání je nejlepším způsobem zabezpečení telefonů a tabletů. Otisky prstů nelze uhodnout, ale hesla ano, zejména pro ty, kteří používají jednoduché kódy PIN, jako je 1234.
Co je to špionážní útok snímače otisků prstů?
„Snímač otisků prstů Spying Attack“ funguje s telefony Samsung, HTC a Huawei. Podle Weie a Zhanga se některým výrobcům nedaří zablokovat snímač otisků prstů. Některá jsou očividně chráněna pouze oprávněními na úrovni systému namísto roota, což usnadňuje jejich nabourání. Většina softwaru souvisejícího se zabezpečením vyžaduje root přístup, takže je pro hackery komplikovanější mařit.
Nebylo vysvětleno, jak hacker skutečně získá přístup k samotnému snímači otisků prstů, ale útočník může pokračovat ve čtení otisků prstů po celou dobu životnosti telefonu, jakmile dojde k útoku.
Bylo také ukázáno, že prostřednictvím jiného útoku, „Confused Authorization Attack“, jak může hacker poskytnout falešná zamykací obrazovka, která by ve skutečnosti umožnila převod peněz na pozadí, jakmile je otisk prstu přijato. Zpráva neuvádí, zda jsou některé současné telefony skutečně zranitelné vůči tomuto typu útoku.
Získání otisků prstů může být velmi vážné, protože se nepoužívají pouze k odemykání zařízení, ale také k provádění mobilních plateb a bankovních transakcí. Otisky prstů jsou také vázány na vás osobně a zjevně je nelze změnit ani změnit.
Není jasné, jak moc musíte být v této panice. Wei a Zhang předvedli špionážní útok snímače otisků prstů na starším Samsungu Galaxy S5 a HTC One Max, ale nezmínili, zda má novější Galaxy S6 nebo Galaxy S6 Edge stejnou zranitelnost. Zpráva dále uvádí, že jak Samsung, tak HTC vydaly opravy poté, co byly upozorněny na zranitelnost.
Nyní, pokud jste náhodou uživatelem iPhone, budete rádi, když víte, že Apple odvádí lepší práci při šifrování dat otisků prstů ze skeneru. Dobrou zprávou je, že Google implementuje podporu zabezpečení otisků prstů Android M, takže bude pravděpodobně bezpečnější na všech telefonech Android. Když už o tom mluvíme, Wei a Zhang doporučují spotřebitelům, aby si kvůli lepší ochraně vždy kupovali nejnovější telefony s nejnovějším softwarem.
Doporučení redakce
- S novými tablety Android od Samsungu je velký problém
- Tato hlavní chyba Apple by mohla hackerům umožnit ukrást vaše fotografie a vymazat vaše zařízení
- Těchto 80+ aplikací může mít na vašem iPhone nebo zařízení Android spuštěný adware
- Android krade jednu z nejlepších funkcí iPhonu pro bezdrátová sluchátka
- Samsung zachránil váš telefon před nepříjemným bezpečnostním problémem
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
