FireEye-forskerne Tao Wei og Yulong Zhang demonstreret på Black Hat-konferencen hvordan hackere kan fjernstjæle fingeraftryk, uden at ejeren af enheden nogensinde ved om det. Endnu mere farligt, dette kan gøres i "stor skala."
Anbefalede videoer
Opdateret den 08-11-2015 af Robert Nazarian: Tilføjet i kommentarer fra HTC, Samsung og Yulong Zhang.
Vi kontaktede både HTC og Samsung for at bekræfte, at der blev udstedt patches til både HTC One Max og Galaxy S5. Vi spurgte også Samsung, om Galaxy S6, Galaxy S6 Edge, eller andre enheder har samme sårbarhed.
"Vi har allerede behandlet problemet for HTC One Max, og det påvirker ikke nogen andre HTC-enheder."
Baseret på følgende kommentar fra HTC, føler vi os sikre på, at alle operatørversioner af One Max blev rettet:
"HTC er opmærksom på FireEye-rapporten om fingeraftryksscannersikkerhed. Vi har allerede behandlet problemet for HTC One Max i alle regioner, og det påvirker ikke andre HTC-enheder. Som altid tager HTC sikkerhedsproblemer meget alvorligt og gør det til en topprioritet."
Samsungs kommentar nævner ikke noget om en patch-opdatering, men indikerer, at alle Galaxy S5-telefoner er sikre:
"Samsung tager fingeraftrykssikkerhed meget alvorligt, og vi er opmærksomme på FireEyes rapport om en sårbarhed med fingeraftrykssensoren. Efter en grundig gennemgang med FireEye blev det konstateret, at alle Galaxy S5-brugeres data forbliver sikre."
Desværre nævnte Samsung ikke status for Galaxy S6, Galaxy S6 Edge eller andre telefoner, der har fingeraftrykssensorer. Vi har kontaktet virksomheden igen, og vi opdaterer dette opslag, når vi hører tilbage.
"Efter en grundig gennemgang med FireEye blev det konstateret, at alle Galaxy S5-brugeres data forbliver sikre."
Vi kontaktede også Yulong Zhang og spurgte ham om Galaxy S6, Galaxy S6 Edge eller andre telefoner, der kunne være sårbare over for Fingerprint Sensor Security Attack. Desværre kunne han ikke give indsigt i, om det påvirker andre enheder.
Zhang gentog, at iPhone ikke er sårbar, da fingeraftryksdataene er krypteret. Æble købte AuthenTec i 2012, som leverer fingeraftrykssensorerne til iPhone. Apples ejerskab i virksomheden gør det nemmere at kontrollere sikkerheden, hvorimod Samsung m.fl Android producenter er prisgivet tredjeparts hardwarevirksomheder.
HTCs og Samsungs rettelse involverer låsning af fingeraftrykssensorerne, men dataene forbliver ukrypteret på grund af hardwarebegrænsninger. Android-producenter vil sandsynligvis være i stand til at sikre hardware, der giver dem mulighed for at kryptere fingeraftryksdata i fremtiden.
Med al denne negativitet omkring fingeraftrykssensorer føler Zhang stadig, at brugen af dem er den bedste måde at sikre telefoner og tablets på. Fingeraftryk kan ikke gættes, men adgangskoder kan, især for dem, der bruger simple PIN-koder som 1234.
Hvad er fingeraftrykssensorens spionangreb?
"Fingerprint Sensor Spying Attack" fungerer med Samsung-, HTC- og Huawei-telefoner. Ifølge Wei og Zhang undlader nogle producenter at låse fingeraftrykssensoren ned. Tilsyneladende er nogle kun bevogtet af privilegier på systemniveau i stedet for root, hvilket gør det lettere at hacke sig ind. Det meste sikkerhedsrelateret software kræver root-adgang, hvilket gør det mere kompliceret for hackere at modarbejde.
Det blev ikke forklaret, hvordan hackeren faktisk får adgang til selve fingeraftrykssensoren, men angriberen kan fortsætte med at læse fingeraftryk i telefonens levetid, når først angrebet er på plads.
Det blev også vist, at gennem et andet angreb, "Confused Authorization Attack", hvordan en hacker kunne yde en falsk låseskærm, der faktisk ville muliggøre en pengeoverførsel i baggrunden, når først et fingeraftryk er accepteret. Rapporten indikerede dog ikke, om nogen nuværende telefoner faktisk er sårbare over for denne type angreb.
At få et fingeraftryk kan være meget alvorligt, da de ikke kun bruges til at låse enheden op, men også bruges til at foretage mobilbetalinger og banktransaktioner. Fingeraftryk er også knyttet til dig personligt og kan naturligvis ikke ændres eller ændres.
Det er ikke klart, hvor panisk du skal være på denne. Wei og Zhang demonstrerede fingeraftrykssensorens spionangreb på den ældre Samsung Galaxy S5 og HTC One Max, men nævnte ikke, om den nyere Galaxy S6 eller Galaxy S6 Edge har den samme sårbarhed. Desuden indikerer rapporten, at både Samsung og HTC udstedte patches efter at have fået besked om sårbarheden.
Nu, hvis du tilfældigvis er en iPhone-bruger, vil du være glad for at vide, at Apple gør et bedre stykke arbejde med at kryptere fingeraftryksdataene fra scanneren. Den gode nyhed er, at Google implementerer fingeraftrykssikkerhedssupport i Android M, så det vil sandsynligvis være mere sikkert på alle Android-telefoner fremover. Apropos det, så anbefaler Wei og Zhang, at forbrugerne altid køber de nyeste telefoner med den nyeste software for bedre beskyttelse.
Redaktørens anbefalinger
- Der er et stort problem med Samsungs nye Android-tablets
- Denne store Apple-fejl kan lade hackere stjæle dine billeder og tørre din enhed
- Disse 80+ apps kan køre adware på din iPhone eller Android-enhed
- Android stjæler en af de bedste iPhone-funktioner til trådløse hovedtelefoner
- Samsung reddede din telefon fra et grimt sikkerhedsproblem
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
