FireEye-tutkijat Tao Wei ja Yulong Zhang esiteltiin Black Hat -konferenssissa kuinka hakkerit voivat etävarastaa sormenjälkiä ilman, että laitteen omistaja tietää siitä. Vielä vaarallisempaa, tämä voidaan tehdä "suuressa mittakaavassa".
Suositellut videot
Päivitetty 08.11.2015, kirjoittanut Robert Nazarian: Lisätty HTC: n, Samsungin ja Yulong Zhangin kommentteihin.
Otimme yhteyttä sekä HTC: hen että Samsungiin vahvistaaksemme, että sekä HTC One Maxille että Galaxy S5:lle on julkaistu korjaustiedostoja. Kysyimme myös Samsungilta, onko Galaxy S6, Galaxy S6 Edge, tai muilla laitteilla on sama haavoittuvuus.
"Olemme jo käsitelleet HTC One Maxin ongelmaa, eikä se vaikuta muihin HTC-laitteisiin."
Seuraavan HTC: n kommentin perusteella uskomme, että kaikki One Maxin operaattoriversiot on korjattu:
"HTC on tietoinen FireEye-raportista sormenjälkitunnistimen turvallisuudesta. Olemme jo käsitelleet HTC One Maxin ongelmaa kaikilla alueilla, eikä se vaikuta muihin HTC-laitteisiin. Kuten aina, HTC ottaa tietoturvakysymykset erittäin vakavasti ja asettaa sen etusijalle."
Samsungin kommentissa ei mainita korjauspäivityksestä, mutta se osoittaa, että kaikki Galaxy S5 -puhelimet ovat turvallisia:
"Samsung suhtautuu sormenjälkien turvallisuuteen erittäin vakavasti, ja olemme tietoisia FireEyen raportista sormenjälkitunnistimen haavoittuvuudesta. FireEyen perusteellisen arvioinnin jälkeen havaittiin, että kaikki Galaxy S5:n käyttäjien tiedot ovat turvassa.
Valitettavasti Samsung ei maininnut Galaxy S6:n, Galaxy S6 Edgen tai muiden puhelimien tilaa, joissa on sormenjälkitunnistimet. Olemme ottaneet yhteyttä yritykseen uudelleen, ja päivitämme tätä viestiä, kun saamme vastauksen.
"FireEyen perusteellisen arvioinnin jälkeen havaittiin, että kaikki Galaxy S5:n käyttäjien tiedot ovat turvassa."
Otimme myös yhteyttä Yulong Zhangiin ja kysyimme häneltä Galaxy S6:sta, Galaxy S6 Edgestä tai muista puhelimista, jotka saattavat olla alttiina sormenjälkitunnistimen tietoturvahyökkäykselle. Valitettavasti hän ei voinut antaa tietoa siitä, vaikuttaako se muihin laitteisiin.
Zhang toisti, että iPhone ei ole haavoittuvainen, koska sormenjälkitiedot on salattu. Omena osti AuthenTecin vuonna 2012, joka tarjoaa sormenjälkitunnistimet iPhonelle. Applen omistus yhtiössä helpottaa turvallisuuden hallintaa, kun taas Samsung ja muut Android valmistajat ovat kolmannen osapuolen laitteistoyritysten armoilla.
HTC: n ja Samsungin korjaus sisältää sormenjälkitunnistimien lukitsemisen, mutta tiedot pysyvät salaamattomina laitteistorajoitusten vuoksi. Android-valmistajat pystyvät todennäköisesti turvaamaan laitteiston, jonka avulla ne voivat salata sormenjälkitietoja tulevaisuudessa.
Kaiken tämän sormenjälkitunnistimiin liittyvän negatiivisuuden vuoksi Zhang katsoo edelleen, että niiden käyttö on paras tapa suojata puhelimia ja tabletteja. Sormenjälkiä ei voi arvata, mutta salasanoja voi, etenkin niille, jotka käyttävät yksinkertaisia PIN-koodeja, kuten 1234.
Mikä on sormenjälkitunnistimen vakoiluhyökkäys?
"Fingerprint Sensor Spying Attack" toimii Samsung-, HTC- ja Huawei-puhelimien kanssa. Wein ja Zhangin mukaan jotkut valmistajat eivät pysty lukitsemaan sormenjälkitunnistinta. Ilmeisesti joitakin suojataan vain järjestelmätason oikeuksilla rootin sijaan, mikä helpottaa murtautumista. Useimmat tietoturvaan liittyvät ohjelmistot vaativat pääkäyttäjän oikeudet, mikä tekee hakkereilta vaikeampaa estää sen.
Ei selitetty, kuinka hakkeri itse asiassa pääsee käsiksi sormenjälkitunnistimeen, mutta hyökkääjä voi jatkaa sormenjälkien lukemista puhelimen käyttöiän ajan, kun hyökkäys on tehty.
Osoitettiin myös, että erilainen hyökkäys, "Confused Authorization Attack", kuinka hakkeri voisi tarjota väärennetty lukitusnäyttö, joka todella mahdollistaisi rahansiirron taustalla, kun sormenjälki on saatu hyväksytty. Raportti ei kuitenkaan osoittanut, ovatko nykyiset puhelimet todella alttiita tämän tyyppisille hyökkäyksille.
Sormenjäljen saaminen voi olla erittäin vakava asia, koska niitä ei käytetä vain laitteen lukituksen avaamiseen, vaan niitä käytetään myös mobiilimaksamiseen ja pankkitapahtumiin. Sormenjäljet ovat myös sidottu sinuun henkilökohtaisesti, eikä niitä tietenkään voida muuttaa tai muuttaa.
Ei ole selvää, kuinka paniikissa sinun täytyy olla tästä. Wei ja Zhang esittelivät sormenjälkitunnistimen vakoiluhyökkäystä vanhemmille Samsung Galaxy S5:lle ja HTC One Maxille, mutta eivät maininneet, onko uudemmassa Galaxy S6:ssa tai Galaxy S6 Edgessä sama haavoittuvuus. Lisäksi raportti osoittaa, että sekä Samsung että HTC julkaisivat korjaustiedostoja saatuaan ilmoituksen haavoittuvuudesta.
Nyt, jos satut olemaan iPhonen käyttäjä, olet iloinen kuullessani, että Apple tekee parempaa työtä sormenjälkitietojen salaamisessa skannerista. Hyvä uutinen on, että Google ottaa käyttöön sormenjälkiturvatuen Android M, joten se on todennäköisesti turvallisempi kaikissa Android-puhelimissa eteenpäin. Siitä puhuen, Wei ja Zhang suosittelevat, että kuluttajat ostavat aina uusimmat puhelimet uusimmilla ohjelmistoilla suojauksen parantamiseksi.
Toimittajien suositukset
- Samsungin uusissa Android-tableteissa on suuri ongelma
- Tämä suuri Apple-virhe saattaa antaa hakkereille mahdollisuuden varastaa valokuvasi ja pyyhkiä laitteesi
- Nämä yli 80 sovellusta voivat käyttää mainosohjelmia iPhonessasi tai Android-laitteellasi
- Android varastaa yhden parhaista iPhone-ominaisuuksista langattomille kuulokkeille
- Samsung pelasti puhelimesi ikävältä tietoturvaongelmalta
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
