FireEye-ის მკვლევარები ტაო ვეი და იულონგ ჟანგი აჩვენა შავი ქუდის კონფერენციაზე როგორ შეუძლიათ ჰაკერებს დისტანციურად მოიპარონ თითის ანაბეჭდები ისე, რომ მოწყობილობის მფლობელმა არ იცოდეს ამის შესახებ. კიდევ უფრო საშიში, ეს შეიძლება გაკეთდეს "დიდი მასშტაბით".
რეკომენდებული ვიდეოები
განახლებულია 08-11-2015 რობერტ ნაზარიანის მიერ: დამატებულია HTC-ის, Samsung-ისა და Yulong Zhang-ის კომენტარებში.
ჩვენ მივმართეთ როგორც HTC-ს, ასევე Samsung-ს, რათა დაადასტუროთ, რომ პატჩები იყო გაცემული როგორც HTC One Max-ისთვის, ასევე Galaxy S5-ისთვის. ჩვენ ასევე ვკითხეთ Samsung-ს, თუ არა Galaxy S6, Galaxy S6 Edge, ან ნებისმიერ სხვა მოწყობილობას აქვს იგივე დაუცველობა.
„ჩვენ უკვე განვიხილეთ პრობლემა HTC One Max-ისთვის და ეს არ იმოქმედებს სხვა HTC მოწყობილობაზე“.
HTC-ის შემდეგი კომენტარის საფუძველზე, ჩვენ დარწმუნებულნი ვართ, რომ One Max-ის ყველა ოპერატორის ვერსია შესწორებულია:
„HTC-მ იცის FireEye-ის ანგარიში თითის ანაბეჭდის სკანერის უსაფრთხოების შესახებ. ჩვენ უკვე მივმართეთ HTC One Max-ის საკითხს ყველა რეგიონში და ეს არ მოქმედებს სხვა HTC მოწყობილობებზე. როგორც ყოველთვის, HTC უსაფრთხოების საკითხებს ძალიან სერიოზულად ეკიდება და მას მთავარ პრიორიტეტად აქცევს“.
Samsung-ის კომენტარში არ არის ნახსენები პაჩის განახლება, მაგრამ მიუთითებს, რომ ყველა Galaxy S5 ტელეფონი უსაფრთხოა:
„Samsung ძალიან სერიოზულად ეკიდება თითის ანაბეჭდის უსაფრთხოებას და ჩვენ ვიცით FireEye-ის ანგარიში თითის ანაბეჭდის სენსორის დაუცველობის შესახებ. FireEye-თან საფუძვლიანი მიმოხილვის შემდეგ აღმოჩნდა, რომ Galaxy S5-ის ყველა მომხმარებლის მონაცემები უსაფრთხოდ რჩება.
სამწუხაროდ, Samsung-მა არ ახსენა Galaxy S6-ის, Galaxy S6 Edge-ის ან სხვა ტელეფონების სტატუსი, რომლებსაც აქვთ თითის ანაბეჭდის სენსორები. ჩვენ კვლავ მივმართეთ კომპანიას და განვაახლებთ ამ პოსტს, როცა მოვისმენთ.
„FireEye-თან საფუძვლიანი მიმოხილვის შემდეგ აღმოჩნდა, რომ Galaxy S5-ის ყველა მომხმარებლის მონაცემები უსაფრთხოდ რჩება“.
ჩვენ ასევე დავუკავშირდით Yulong Zhang-ს და ვკითხეთ Galaxy S6-ის, Galaxy S6 Edge-ის ან ნებისმიერი სხვა ტელეფონის შესახებ, რომელიც შეიძლება დაუცველი იყოს თითის ანაბეჭდის სენსორის უსაფრთხოების შეტევის მიმართ. სამწუხაროდ, მან ვერ შეძლო იმის გაგება, მოქმედებს თუ არა ეს სხვა მოწყობილობებზე.
ჟანგმა გაიმეორა, რომ iPhone არ არის დაუცველი, რადგან თითის ანაბეჭდის მონაცემები დაშიფრულია. Apple შეიძინა AuthenTec 2012 წელს, რომელიც უზრუნველყოფს თითის ანაბეჭდის სენსორებს iPhone-ისთვის. Apple-ის მფლობელობა კომპანიაში აადვილებს უსაფრთხოების კონტროლს, მაშინ როცა Samsung და სხვა Android მწარმოებლები არიან მესამე მხარის ტექნიკის კომპანიების წყალობაზე.
HTC-ისა და Samsung-ის შესწორება გულისხმობს თითის ანაბეჭდის სენსორების ჩაკეტვას, მაგრამ მონაცემები დაშიფრული რჩება ტექნიკის შეზღუდვების გამო. ანდროიდის მწარმოებლები, სავარაუდოდ, შეძლებენ დაიცვან აპარატურა, რომელიც მათ მომავალში თითის ანაბეჭდის მონაცემების დაშიფვრის საშუალებას აძლევს.
თითის ანაბეჭდის სენსორების გარშემო არსებული მთელი ამ ნეგატიურობით, ჟანგი მაინც გრძნობს, რომ მათი გამოყენება საუკეთესო საშუალებაა ტელეფონებისა და ტაბლეტების დასაცავად. თითის ანაბეჭდების გამოცნობა შეუძლებელია, მაგრამ პაროლები შეიძლება, განსაკუთრებით მათთვის, ვინც იყენებს მარტივ PIN კოდებს, როგორიცაა 1234.
რა არის თითის ანაბეჭდის სენსორის ჯაშუშური თავდასხმა?
„თითის ანაბეჭდის სენსორის ჯაშუშური თავდასხმა“ მუშაობს Samsung, HTC და Huawei ტელეფონებთან. Wei-სა და Zhang-ის თქმით, ზოგიერთი მწარმოებელი ვერ ბლოკავს თითის ანაბეჭდის სენსორს. როგორც ჩანს, ზოგიერთს იცავს მხოლოდ სისტემის დონის პრივილეგიები root-ის ნაცვლად, რაც აადვილებს გატეხვას. უსაფრთხოებასთან დაკავშირებული პროგრამული უზრუნველყოფის უმეტესობა მოითხოვს root წვდომას, რაც უფრო ართულებს ჰაკერების ჩაშლას.
არ იყო ახსნილი, თუ როგორ იძენს ჰაკერი თავად თითის ანაბეჭდის სენსორზე წვდომას, მაგრამ თავდამსხმელს შეუძლია გააგრძელოს თითის ანაბეჭდების კითხვა ტელეფონის სიცოცხლის განმავლობაში, მას შემდეგ რაც თავდასხმა მოხდება.
ასევე ნაჩვენები იყო, რომ სხვადასხვა შეტევის, „დაბნეული ავტორიზაციის თავდასხმის“ მეშვეობით, როგორ შეეძლო ჰაკერს მიეწოდებინა ყალბი დაბლოკვის ეკრანი, რომელიც რეალურად საშუალებას მისცემს ფულის გადარიცხვას ფონზე, როდესაც თითის ანაბეჭდი იქნება მიღებული. მოხსენებაში არ არის მითითებული, არის თუ არა რომელიმე ამჟამინდელი ტელეფონი რეალურად დაუცველი ამ ტიპის თავდასხმის მიმართ.
თითის ანაბეჭდის მიღება შეიძლება ძალიან სერიოზული იყოს, რადგან ისინი გამოიყენება არა მხოლოდ მოწყობილობის განბლოკვისთვის, არამედ მობილური გადახდების და საბანკო ტრანზაქციების განსახორციელებლად. თითის ანაბეჭდები ასევე პირადად თქვენზეა მიბმული და აშკარად შეუძლებელია მისი შეცვლა ან შეცვლა.
გაუგებარია, რამდენად პანიკაში უნდა იყოთ ამ შემთხვევაში. ვეიმ და ჟანგმა წარმოადგინეს Fingerprint Sensor Spying Attack ძველ Samsung Galaxy S5-სა და HTC One Max-ზე, მაგრამ არ აღნიშნეს, აქვთ თუ არა ახალ Galaxy S6-ს ან Galaxy S6 Edge-ს იგივე დაუცველობა. გარდა ამისა, მოხსენებაში მითითებულია, რომ როგორც Samsung-მა, ასევე HTC-მა გამოსცეს პატჩები დაუცველობის შესახებ შეტყობინების მიღების შემდეგ.
ახლა, თუ თქვენ ხართ iPhone-ის მომხმარებელი, სიამოვნებით გეცოდინებათ, რომ Apple უკეთესად ასრულებს სკანერიდან თითის ანაბეჭდის მონაცემების დაშიფვრას. კარგი ამბავი ის არის, რომ Google ახორციელებს თითის ანაბეჭდის უსაფრთხოების მხარდაჭერას Android M, ასე რომ, სავარაუდოდ, ის უფრო უსაფრთხო იქნება ყველა Android ტელეფონზე, რომელიც წინ მიიწევს. ამაზე საუბრისას, Wei და Zhang რეკომენდაციას უწევენ მომხმარებლებს, რომ ყოველთვის იყიდონ უახლესი ტელეფონები უახლესი პროგრამული უზრუნველყოფის უკეთესი დაცვისთვის.
რედაქტორების რეკომენდაციები
- დიდი პრობლემაა Samsung-ის ახალ Android ტაბლეტებთან დაკავშირებით
- Apple-ის ამ მთავარმა შეცდომამ შეიძლება ჰაკერებს თქვენი ფოტოების მოპარვისა და მოწყობილობის წაშლის უფლება მისცეს
- ეს 80+ აპი შეიძლება იყოს გაშვებული adware თქვენს iPhone ან Android მოწყობილობაზე
- Android იპარავს iPhone-ის ერთ-ერთ საუკეთესო ფუნქციას უკაბელო ყურსასმენებისთვის
- Samsung-მა გადაარჩინა თქვენი ტელეფონი უსაფრთხოების საშინელი პრობლემისგან
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.
