FireEye uurijad Tao Wei ja Yulong Zhang demonstreeriti Black Hat konverentsil kuidas häkkerid saavad kaugjuhtimisega sõrmejälgi varastada, ilma et seadme omanik sellest kunagi teada saaks. Veelgi ohtlikum on see, et seda saab teha "suures ulatuses".
Soovitatavad videod
8.11.2015 värskendas Robert Nazarian: Lisatud HTC, Samsungi ja Yulong Zhangi kommentaaridesse.
Võtsime ühendust nii HTC kui ka Samsungiga, et kinnitada, et nii HTC One Maxi kui ka Galaxy S5 jaoks on välja antud plaastrid. Küsisime ka Samsungilt, kas Galaxy S6, Galaxy S6 Edge, või mõnel muul seadmel on sama haavatavus.
"Oleme HTC One Maxi probleemiga juba tegelenud ja see ei mõjuta ühtegi teist HTC-seadet."
Järgmise HTC kommentaari põhjal oleme kindlad, et kõik One Maxi operaatoriversioonid said paigatud:
"HTC on teadlik FireEye aruandest sõrmejäljeskannerite turvalisuse kohta. Oleme HTC One Maxi probleemi juba kõigis piirkondades käsitlenud ja see ei mõjuta ühtegi teist HTC-seadet. Nagu alati, võtab HTC turvaküsimusi väga tõsiselt ja seab selle esmatähtsaks.
Samsungi kommentaar ei maini plaastri värskendust, kuid näitab, et kõik Galaxy S5 telefonid on ohutud:
„Samsung võtab sõrmejälgede turvalisust väga tõsiselt ja oleme teadlikud FireEye aruandest sõrmejäljeanduri haavatavuse kohta. Pärast FireEye'i põhjalikku ülevaatamist leiti, et kõik Galaxy S5 kasutajate andmed on turvalised.
Kahjuks ei maininud Samsung Galaxy S6, Galaxy S6 Edge ega muude sõrmejäljeanduriga telefonide olekut. Oleme ettevõttega uuesti ühendust võtnud ja värskendame seda postitust, kui vastu saame.
"Pärast FireEye'i põhjalikku ülevaatamist leiti, et kõik Galaxy S5 kasutajate andmed on turvalised."
Võtsime ühendust ka Yulong Zhangiga ja küsisime temalt Galaxy S6, Galaxy S6 Edge'i või muude telefonide kohta, mis võivad olla sõrmejäljeanduri turvarünnaku suhtes haavatavad. Kahjuks ei suutnud ta anda ülevaadet selle kohta, kas see mõjutab teisi seadmeid.
Zhang kordas, et iPhone ei ole haavatav, kuna sõrmejäljeandmed on krüptitud. Apple ostis AuthenTeci 2012. aastal, mis pakub iPhone'i sõrmejäljeandureid. Apple'i omandiõigus ettevõttes muudab turvalisuse kontrollimise lihtsamaks, samas kui Samsung ja teised Android tootjad on kolmandate osapoolte riistvaraettevõtete meelevallas.
HTC ja Samsungi parandus hõlmab sõrmejäljeandurite lukustamist, kuid andmed jäävad riistvarapiirangute tõttu krüptimata. Androidi tootjad saavad tõenäoliselt tulevikus kaitsta riistvara, mis võimaldab neil sõrmejälgede andmeid krüptida.
Arvestades kogu seda sõrmejäljeanduritega seotud negatiivsust, tunneb Zhang endiselt, et nende kasutamine on parim viis telefonide ja tahvelarvutite kaitsmiseks. Sõrmejälgi ei saa ära arvata, kuid paroole saab, eriti nende puhul, mis kasutavad lihtsaid PIN-koode, nagu 1234.
Mis on sõrmejäljeanduri nuhkimisrünnak?
"Sõrmejäljeanduri nuhkimisrünnak" töötab Samsungi, HTC ja Huawei telefonidega. Wei ja Zhangi sõnul ei suuda mõned tootjad sõrmejäljeandurit lukustada. Ilmselt on mõnda kaitstud ainult süsteemitaseme privileegid, mitte root, mis muudab sissemurdmise lihtsamaks. Enamik turvalisusega seotud tarkvara nõuab juurjuurdepääsu, muutes häkkeritel selle takistamise keerulisemaks.
Ei selgitatud, kuidas häkker tegelikult sõrmejäljeandurile juurde pääseb, kuid ründaja saab pärast rünnaku toimumist jätkata sõrmejälgede lugemist kogu telefoni eluea jooksul.
Samuti näidati, et häkker suudab pakkuda teistsugust rünnakut, "Segane autoriseerimisrünnak". võltslukustusekraan, mis võimaldaks pärast sõrmejälje saamist taustal rahaülekande teha vastu võetud. Aruanne ei näidanud, kas mõni praegune telefon on seda tüüpi rünnakute suhtes haavatav.
Sõrmejälgede saamine võib olla väga tõsine, kuna neid ei kasutata mitte ainult seadme avamiseks, vaid ka mobiilimaksete tegemiseks ja pangatehingute tegemiseks. Sõrmejäljed on samuti seotud teiega isiklikult ja ilmselgelt ei saa neid muuta ega muuta.
Pole selge, kui paanikas peate selle pärast olema. Wei ja Zhang demonstreerisid sõrmejäljeanduri nuhkimisrünnakut vanemate Samsung Galaxy S5 ja HTC One Maxi puhul, kuid ei maininud, kas uuemal Galaxy S6 või Galaxy S6 Edge on sama haavatavus. Lisaks näitab aruanne, et nii Samsung kui ka HTC väljastasid plaastreid pärast haavatavuse teatamist.
Nüüd, kui olete iPhone'i kasutaja, on teil hea meel teada saada, et Apple teeb skannerist sõrmejäljeandmete krüptimisel paremat tööd. Hea uudis on see, et Google rakendab sõrmejälgede turvatuge Android M, seega on see tõenäoliselt turvalisem kõigis Android-telefonides. Sellest rääkides soovitavad Wei ja Zhang tarbijatel parema kaitse tagamiseks osta alati uusimad telefonid, millel on uusim tarkvara.
Toimetajate soovitused
- Samsungi uute Android-tahvelarvutitega on suur probleem
- See suur Apple'i viga võib lasta häkkeritel teie fotosid varastada ja seadet pühkida
- Need 80+ rakendust võivad teie iPhone'is või Android-seadmes käitada reklaamvara
- Android varastab juhtmevabade kõrvaklappide jaoks ühe parima iPhone'i funktsiooni
- Samsung päästis teie telefoni vastiku turvaprobleemi eest
Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
