A FireEye kutatói, Tao Wei és Yulong Zhang mutatott be a Black Hat konferencián hogyan tudnak a hackerek távolról ellopni az ujjlenyomatokat anélkül, hogy az eszköz tulajdonosa valaha is tudott volna róla. Még veszélyesebb, hogy ez „nagy léptékben” megtehető.
Ajánlott videók
Robert Nazarian frissítette 2015. 11. 08-án: Hozzáadva a HTC, a Samsung és a Yulong Zhang megjegyzéseihez.
Megkerestük a HTC-t és a Samsungot is, hogy megerősítsük, hogy a HTC One Max-hoz és a Galaxy S5-höz is megjelentek a javítások. Megkérdeztük a Samsungot is, hogy a Galaxy S6, Galaxy S6 Edge, vagy bármely más eszköz ugyanazzal a sérülékenységgel rendelkezik.
"Már foglalkoztunk a HTC One Max problémájával, és nincs hatással más HTC-eszközökre."
A HTC alábbi megjegyzése alapján biztosak vagyunk abban, hogy a One Max összes szolgáltatói verzióját javították:
„A HTC ismeri az ujjlenyomat-szkenner biztonságáról szóló FireEye jelentést. A HTC One Max problémájával már minden régióban foglalkoztunk, és ez semmilyen más HTC-eszközt nem érint. Mint mindig, a HTC is nagyon komolyan veszi a biztonsági kérdéseket, és ezt kiemelten kezeli.”
A Samsung megjegyzése nem tesz említést a javítás frissítéséről, de azt jelzi, hogy az összes Galaxy S5 telefon biztonságos:
„A Samsung nagyon komolyan veszi az ujjlenyomat-biztonságot, és ismerjük a FireEye jelentését az ujjlenyomat-érzékelő sérülékenységéről. A FireEye segítségével végzett alapos vizsgálatot követően megállapították, hogy a Galaxy S5 összes felhasználójának adatai biztonságban maradnak.”
Sajnos a Samsung nem említette a Galaxy S6, Galaxy S6 Edge vagy más olyan telefonok állapotát, amelyek ujjlenyomat-érzékelővel rendelkeznek. Ismét megkerestük a céget, és frissítjük ezt a bejegyzést, ha visszajelzést kapunk.
„A FireEye segítségével végzett alapos vizsgálatot követően megállapították, hogy a Galaxy S5 összes felhasználójának adatai biztonságban maradnak.”
Felvettük a kapcsolatot Yulong Zhanggal is, és megkérdeztük a Galaxy S6-ról, a Galaxy S6 Edge-ről vagy bármely más olyan telefonról, amely sebezhető lehet az ujjlenyomat-érzékelő biztonsági támadása miatt. Sajnos nem tudott betekintést nyújtani abba, hogy hatással van-e más eszközökre.
Zhang megismételte, hogy az iPhone nem sérülékeny, mivel az ujjlenyomat-adatok titkosítottak. alma 2012-ben vásárolta meg az AuthenTec-et, amely az iPhone ujjlenyomat-érzékelőit biztosítja. Az Apple tulajdona a vállalatban megkönnyíti a biztonság ellenőrzését, míg a Samsung és mások Android a gyártók ki vannak szolgáltatva a harmadik fél hardvercégeinek.
A HTC és a Samsung javítása magában foglalja az ujjlenyomat-érzékelők zárolását, de az adatok titkosítatlanok maradnak a hardveres korlátok miatt. Az Android gyártói a jövőben valószínűleg képesek lesznek olyan hardvereket biztosítani, amelyek lehetővé teszik számukra az ujjlenyomat-adatok titkosítását.
Az ujjlenyomat-érzékelők körüli sok negatívum ellenére Zhang továbbra is úgy érzi, hogy ezek használata a legjobb módja a telefonok és táblagépek biztonságának. Az ujjlenyomatokat nem lehet kitalálni, de a jelszavakat igen, különösen azoknál, amelyek egyszerű PIN kódokat használnak, mint például az 1234.
Mi az az ujjlenyomat-érzékelő kémtámadás?
Az „ujjlenyomat-érzékelő kémtámadás” a Samsung, a HTC és a Huawei telefonokon működik. Wei és Zhang szerint egyes gyártók nem zárják le az ujjlenyomat-érzékelőt. Nyilvánvalóan néhányat csak rendszerszintű jogosultságok védenek a root helyett, ami megkönnyíti a feltörést. A legtöbb biztonsági vonatkozású szoftver root hozzáférést igényel, ami bonyolultabbá teszi a hackerek akadályozását.
Azt nem magyarázták el, hogy a hacker valójában hogyan jut hozzá az ujjlenyomat-érzékelőhöz, de a támadó a támadást követően a telefon élete végéig folytathatja az ujjlenyomatok olvasását.
Azt is megmutatták, hogy egy másik támadáson, a „Confused Authorization Attack”-en keresztül, hogyan tud egy hacker nyújtani hamis zárolási képernyő, amely ténylegesen lehetővé tenné a pénz átutalását a háttérben az ujjlenyomat után elfogadott. A jelentés azonban nem jelezte, hogy a jelenlegi telefonok valóban sebezhetőek-e az ilyen típusú támadásokkal szemben.
Az ujjlenyomat beszerzése nagyon komoly lehet, hiszen nem csak a készülék feloldására, hanem mobilfizetésre és banki tranzakciókra is használják. Az ujjlenyomatok személyesen is hozzá vannak kötve, és nyilvánvalóan nem módosíthatók vagy módosíthatók.
Nem világos, mennyire kell pánikba esned ezen. Wei és Zhang bemutatta az ujjlenyomat-érzékelő kémtámadást a régebbi Samsung Galaxy S5-ön és a HTC One Max-on, de nem említették, hogy az újabb Galaxy S6 vagy Galaxy S6 Edge rendelkezik-e ugyanezzel a sebezhetőséggel. Ezenkívül a jelentés azt jelzi, hogy a Samsung és a HTC is kiadott javításokat, miután értesítették a sérülékenységről.
Ha Ön iPhone-felhasználó, örömmel fogja tudni, hogy az Apple jobban tudja titkosítani a lapolvasó ujjlenyomat-adatait. A jó hír az, hogy a Google bevezeti az ujjlenyomat-biztonsági támogatást Android M, így valószínűleg biztonságosabb lesz minden Android-telefonon. Ennek apropóján Wei és Zhang azt javasolja a fogyasztóknak, hogy a jobb védelem érdekében mindig a legújabb telefonokat vásárolják meg a legújabb szoftverrel.
Szerkesztői ajánlások
- Nagy probléma van a Samsung új Android táblagépeivel
- Ez a jelentős Apple-hiba lehetővé teheti a hackerek számára, hogy ellopják fényképeit, és töröljék az eszközt
- Ez a több mint 80 alkalmazás reklámprogramokat futtathat iPhone-on vagy Android-eszközén
- Az Android ellopja az iPhone egyik legjobb funkcióját a vezeték nélküli fejhallgatókhoz
- A Samsung megmentette telefonját egy csúnya biztonsági probléma elől
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.