חוקרי FireEye טאו ווי ויולונג ג'אנג הפגין בכנס Black Hat כיצד האקרים יכולים לגנוב מרחוק טביעות אצבע מבלי שהבעלים של המכשיר יידע על כך. אפילו יותר מסוכן, זה יכול להיעשות ב"קנה מידה גדול".
סרטונים מומלצים
עודכן ב-08-11-2015 על ידי רוברט נזריאן: נוסף בתגובות של HTC, סמסונג ו-Yulong Zhang.
פנינו גם ל-HTC וגם ל-Samsung כדי לאשר שהונפקו תיקונים גם ל-HTC One Max וגם ל-Galaxy S5. שאלנו גם את סמסונג אם גלקסי S6, Galaxy S6 Edge, או לכל מכשיר אחר יש את אותה פגיעות.
"כבר טיפלנו בבעיה עבור ה-HTC One Max, וזה לא משפיע על שום מכשיר אחר של HTC."
בהתבסס על ההערה הבאה מ-HTC, אנו בטוחים שכל גרסאות הספק של ה-One Max תוקנה:
"HTC מודעת לדוח FireEye על אבטחת סורק טביעות אצבע. כבר טיפלנו בבעיה של ה-HTC One Max בכל האזורים, והיא לא משפיעה על מכשירי HTC אחרים. כמו תמיד, HTC מתייחסת ברצינות רבה לבעיות אבטחה ועושה אותה בעדיפות עליונה".
ההערה של סמסונג אינה מזכירה עדכון תיקון, אבל כן מציינת שכל טלפונים של Galaxy S5 בטוחים:
"סמסונג מתייחסת ברצינות רבה לאבטחת טביעות האצבע, ואנו מודעים לדיווח של FireEye על פגיעות בחיישן טביעות האצבע. לאחר בדיקה יסודית עם FireEye, נמצא שכל הנתונים של משתמשי Galaxy S5 נותרו בטוחים."
לרוע המזל, סמסונג לא הזכירה את הסטטוס של ה-Galaxy S6, ה-Galaxy S6 Edge או כל טלפון אחר שיש לו חיישני טביעת אצבע. פנינו לחברה שוב, ונעדכן את הפוסט הזה כשנשמע.
"לאחר סקירה יסודית עם FireEye, נמצא שכל הנתונים של משתמשי Galaxy S5 נשארים בטוחים."
יצרנו קשר גם עם Yulong Zhang ושאלנו אותו לגבי ה-Galaxy S6, Galaxy S6 Edge, או כל טלפון אחר שעלול להיות פגיע להתקפת אבטחה של חיישן טביעת אצבע. למרבה הצער, הוא לא יכול היה לספק תובנות אם זה משפיע על מכשירים אחרים.
ג'אנג חזר ואמר שהאייפון אינו פגיע מכיוון שנתוני טביעת האצבע מוצפנים. תפוח עץ רכשה את AuthenTec ב-2012, המספק את חיישני טביעות האצבע לאייפון. הבעלות של אפל בחברה מקלה על השליטה באבטחה, ואילו סמסונג ואחרות דְמוּי אָדָם היצרנים נתונים לחסדי חברות החומרה של צד שלישי.
התיקון של HTC וסמסונג כולל נעילת חיישני טביעת האצבע, אך הנתונים נותרים לא מוצפנים בגלל מגבלות חומרה. יצרני אנדרואיד יוכלו ככל הנראה לאבטח חומרה שתאפשר להם להצפין נתוני טביעת אצבע בעתיד.
עם כל השליליות הזו סביב חיישני טביעות אצבע, ג'אנג עדיין מרגיש שהשימוש בהם הוא הדרך הטובה ביותר לאבטח טלפונים וטאבלטים. לא ניתן לנחש טביעות אצבע, אבל סיסמאות יכולות להיות, במיוחד עבור אלה המשתמשים בקודי PIN פשוטים כמו 1234.
מהי מתקפת הריגול של חיישן טביעת האצבע?
"התקפת ריגול של חיישן טביעות אצבע" עובד עם טלפונים של סמסונג, HTC ו-Huawei. לדברי Wei וג'אנג, חלק מהיצרנים לא מצליחים לנעול את חיישן טביעות האצבע. מסתבר שחלקם נשמרים רק על ידי הרשאות ברמת המערכת במקום שורש, מה שמקל על הפריצה. רוב התוכנות הקשורות לאבטחה דורשות גישת שורש, מה שהופך את זה לקשה יותר לסכל האקרים.
לא הוסבר כיצד ההאקר מקבל למעשה גישה לחיישן טביעות האצבע עצמו, אך התוקף יכול להמשיך לקרוא טביעות אצבעות למשך כל חיי הטלפון לאחר שהמתקפה מתבצעת.
הוכח גם שבאמצעות מתקפה אחרת, "התקפת הרשאות מבולבלת", איך האקר יכול לספק מסך נעילה מזויף שלמעשה יאפשר העברת כספים ברקע ברגע שיש טביעת אצבע מְקוּבָּל. הדוח לא ציין אם טלפונים נוכחיים כלשהם באמת פגיעים להתקפה מסוג זה.
השגת טביעת אצבע עלולה להיות רצינית מאוד מכיוון שהן משמשות לא רק לפתיחת המכשיר, אלא גם משמשות לביצוע תשלומים ניידים ועסקאות בנקאיות. טביעות אצבע קשורות גם אליך באופן אישי וברור שלא ניתן לשנות או לשנות.
לא ברור כמה בפאניקה אתה צריך להיות בעניין הזה. Wei וג'אנג הציגו את מתקפת הריגול של חיישן טביעות האצבע על ה-Samsung Galaxy S5 וה-HTC One Max הישן יותר, אך לא ציינו אם ל-Galaxy S6 או ל-Galaxy S6 Edge החדשים יש את אותה פגיעות. יתר על כן, הדוח מצביע על כך שגם סמסונג וגם HTC הוציאו תיקונים לאחר שקיבלו הודעה על הפגיעות.
כעת, אם אתה במקרה משתמש באייפון, תשמח לדעת שאפל עושה עבודה טובה יותר בהצפנת נתוני טביעות האצבע מהסורק. החדשות הטובות הן שגוגל מיישמת תמיכה באבטחת טביעות אצבע ב אנדרואיד M, כך שהוא צפוי להיות מאובטח יותר בכל טלפונים אנדרואיד קדימה. אם כבר מדברים על זה, ווי וג'אנג ממליצים לצרכנים לקנות תמיד את הטלפונים העדכניים ביותר עם התוכנה העדכנית ביותר להגנה טובה יותר.
המלצות עורכים
- יש בעיה גדולה בטאבלטי האנדרואיד החדשים של סמסונג
- הבאג הגדול הזה של אפל יכול לאפשר להאקרים לגנוב את התמונות שלך ולמחוק את המכשיר שלך
- 80+ האפליקציות האלה יכולות להפעיל תוכנות פרסום במכשיר האייפון או האנדרואיד שלך
- אנדרואיד גונבת את אחת מתכונות האייפון הטובות ביותר עבור אוזניות אלחוטיות
- סמסונג הצילה את הטלפון שלך מבעיית אבטחה חמורה
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
