Istraživači FireEyea Tao Wei i Yulong Zhang prikazano na konferenciji Black Hat kako hakeri mogu daljinski ukrasti otiske prstiju, a da vlasnik uređaja za to ne zna. Što je još opasnije, to se može učiniti u "velikim razmjerima".
Preporučeni videozapisi
Ažurirano 8. 11. 2015. Robert Nazarian: Dodano u komentarima HTC-a, Samsunga i Yulong Zhanga.
Kontaktirali smo i HTC i Samsung kako bismo potvrdili da su zakrpe izdane i za HTC One Max i za Galaxy S5. Također smo pitali Samsung je li Galaxy S6, Galaxy S6 Edge, ili bilo koji drugi uređaji imaju istu ranjivost.
"Već smo riješili problem za HTC One Max i on ne utječe ni na jedan drugi HTC uređaj."
Na temelju sljedećeg komentara tvrtke HTC, uvjereni smo da su sve verzije One Maxa za mobilne operatere zakrpane:
“HTC je svjestan FireEye izvješća o sigurnosti skenera otiska prsta. Već smo riješili problem za HTC One Max u svim regijama i on ne utječe ni na jedan drugi HTC uređaj. Kao i uvijek, HTC sigurnosna pitanja shvaća vrlo ozbiljno i stavlja ih na prvo mjesto.”
Samsungov komentar ne spominje ažuriranje zakrpe, ali pokazuje da su svi Galaxy S5 telefoni sigurni:
“Samsung vrlo ozbiljno shvaća sigurnost otiska prsta i svjesni smo FireEyeovog izvješća o ranjivosti senzora otiska prsta. Nakon temeljitog pregleda s FireEyeom, ustanovljeno je da svi podaci korisnika Galaxy S5 ostaju sigurni.”
Nažalost, Samsung nije spomenuo status Galaxy S6, Galaxy S6 Edge ili bilo kojeg drugog telefona koji ima senzor otiska prsta. Ponovno smo se obratili tvrtki i ažurirat ćemo ovu objavu kad nam se javi.
“Nakon temeljitog pregleda s FireEyeom, ustanovljeno je da svi podaci korisnika Galaxy S5 ostaju sigurni.”
Također smo kontaktirali Yulong Zhanga i pitali ga o Galaxy S6, Galaxy S6 Edge ili bilo kojim drugim telefonima koji bi mogli biti ranjivi na sigurnosni napad senzora otiska prsta. Nažalost, nije mogao dati uvid u to utječe li to na druge uređaje.
Zhang je ponovio da iPhone nije ranjiv jer su podaci o otiscima prstiju šifrirani. Jabuka kupio je AuthenTec 2012, koji pruža senzore otiska prsta za iPhone. Vlasništvo Applea u tvrtki olakšava kontrolu sigurnosti, dok Samsung i drugi Android proizvođači su prepušteni na milost i nemilost hardverskim tvrtkama trećih strana.
HTC-ov i Samsungov popravak uključuje zaključavanje senzora otiska prsta, ali podaci ostaju nekriptirani zbog hardverskih ograničenja. Proizvođači Androida vjerojatno će u budućnosti moći osigurati hardver koji im omogućuje šifriranje podataka o otiscima prstiju.
Uz svu ovu negativnost oko senzora otiska prsta, Zhang i dalje smatra da je njihova uporaba najbolji način za zaštitu telefona i tableta. Otisci prstiju se ne mogu pogoditi, ali lozinke mogu, posebno za one koji koriste jednostavne PIN kodove poput 1234.
Što je špijunski napad senzora otiska prsta?
“Špijunski napad senzora otiska prsta” radi sa Samsung, HTC i Huawei telefonima. Prema Weiju i Zhangu, neki proizvođači ne uspijevaju zaključati senzor otiska prsta. Navodno su neki zaštićeni samo privilegijama na razini sustava umjesto roota, što olakšava hakiranje. Većina softvera koji se odnose na sigurnost zahtijeva root pristup, što ga hakerima čini kompliciranijim za sprječavanje.
Nije objašnjeno kako haker zapravo dobiva pristup samom senzoru otiska prsta, ali napadač može nastaviti čitati otiske prstiju za života telefona nakon što je napad na mjestu.
Također je pokazano da kroz drugačiji napad, "Confused Authorization Attack", kako haker može pružiti lažni zaključani zaslon koji bi zapravo omogućio prijenos novca u pozadini nakon otiska prsta prihvaćeno. Izvješće nije naznačilo je li neki trenutni telefon stvarno ranjiv na ovu vrstu napada.
Dobivanje otiska prsta moglo bi biti vrlo ozbiljno jer se oni ne koriste samo za otključavanje uređaja, već se koriste i za mobilna plaćanja i bankovne transakcije. Otisci prstiju također su vezani za vas osobno i očito se ne mogu promijeniti ili promijeniti.
Nije jasno koliko trebate biti u panici zbog ovoga. Wei i Zhang demonstrirali su špijunski napad senzora otiska prsta na starijim Samsung Galaxy S5 i HTC One Max, ali nisu spomenuli imaju li noviji Galaxy S6 ili Galaxy S6 Edge istu ranjivost. Nadalje, izvješće pokazuje da su i Samsung i HTC izdali zakrpe nakon što su obaviješteni o ranjivosti.
Sada, ako ste slučajno korisnik iPhonea, bit ćete sretni znati da Apple radi bolji posao kod šifriranja podataka o otisku prsta sa skenera. Dobra vijest je da Google implementira sigurnosnu podršku otiska prsta u Android M, tako da će vjerojatno biti sigurniji na svim Android telefonima u budućnosti. Govoreći o tome, Wei i Zhang preporučuju potrošačima da uvijek kupuju najnovije telefone s najnovijim softverom za bolju zaštitu.
Preporuke urednika
- Postoji veliki problem sa Samsungovim novim Android tabletima
- Ova velika Appleova pogreška mogla bi hakerima omogućiti krađu vaših fotografija i brisanje vašeg uređaja
- Ovih 80+ aplikacija moglo bi pokrenuti adware na vašem iPhone ili Android uređaju
- Android krade jednu od najboljih značajki iPhonea za bežične slušalice
- Samsung je spasio vaš telefon od gadnog sigurnosnog problema
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.