FireEye 연구원 Tao Wei와 Yulong Zhang Black Hat 컨퍼런스에서 시연된 해커가 장치 소유자가 알지 못하는 사이에 원격으로 지문을 훔칠 수 있는 방법. 더욱 위험한 것은 이것이 “대규모”로 이루어질 수 있다는 것입니다.
추천 동영상
Robert Nazarian이 2015년 8월 11일에 업데이트했습니다. HTC, Samsung 및 Yulong Zhang의 의견이 추가되었습니다.
우리는 HTC One Max와 Galaxy S5 모두에 대한 패치가 발행되었는지 확인하기 위해 HTC와 Samsung에 모두 연락했습니다. 우리는 또한 삼성에게 물었다. 갤럭시 S6, 갤럭시 S6 엣지, 또는 다른 장치에도 동일한 취약점이 있습니다.
"우리는 이미 HTC One Max에 대한 문제를 해결했으며 다른 HTC 장치에는 영향을 미치지 않습니다."
HTC의 다음 의견을 바탕으로 우리는 One Max의 모든 통신사 버전이 패치되었다고 확신합니다.
“HTC는 지문 스캐너 보안에 대한 FireEye 보고서를 알고 있습니다. 우리는 모든 지역에서 HTC One Max에 대한 문제를 이미 해결했으며 다른 HTC 장치에는 영향을 미치지 않습니다. 늘 그렇듯이 HTC는 보안 문제를 매우 중요하게 여기며 이를 최우선 과제로 삼고 있습니다.”
삼성의 의견에는 패치 업데이트에 대한 언급이 없지만 모든 Galaxy S5 휴대폰이 안전하다는 점은 나와 있습니다.
“삼성은 지문 보안을 매우 중요하게 생각하며, 지문 센서의 취약점에 대한 FireEye의 보고를 인지하고 있습니다. FireEye를 통해 철저하게 검토한 결과 모든 Galaxy S5 사용자의 데이터는 안전하게 유지되는 것으로 나타났습니다.”
불행하게도 삼성은 갤럭시 S6, 갤럭시 S6 엣지, 지문 센서가 탑재된 다른 휴대폰의 상태에 대해서는 언급하지 않았습니다. 당사는 해당 회사에 다시 연락했으며 답변을 받으면 이 게시물을 업데이트하겠습니다.
“FireEye를 통해 철저하게 검토한 결과 모든 Galaxy S5 사용자의 데이터는 안전하게 유지되는 것으로 나타났습니다.”
또한 Yulong Zhang에게 연락하여 Galaxy S6, Galaxy S6 Edge 또는 지문 센서 보안 공격에 취약할 수 있는 기타 휴대폰에 대해 문의했습니다. 불행하게도 그는 그것이 다른 장치에 영향을 미치는지에 대한 통찰력을 제공할 수 없었습니다.
Zhang은 지문 데이터가 암호화되어 있기 때문에 iPhone은 취약하지 않다고 거듭 강조했습니다. 사과 2012년에 AuthenTec을 인수했습니다., iPhone용 지문 센서를 제공합니다. 회사에 대한 Apple의 소유권으로 인해 보안 제어가 더 쉬워지는 반면, Samsung 및 기타 기계적 인조 인간 제조업체는 타사 하드웨어 회사의 처분을 받습니다.
HTC와 삼성의 수정에는 지문 센서를 잠그는 것이 포함되지만 하드웨어 제한으로 인해 데이터는 암호화되지 않은 상태로 유지됩니다. Android 제조업체는 향후 지문 데이터를 암호화할 수 있는 하드웨어를 확보할 수 있을 것입니다.
지문 센서를 둘러싼 이러한 부정적인 측면에도 불구하고 Zhang은 여전히 지문 센서를 사용하는 것이 휴대폰과 태블릿을 보호하는 가장 좋은 방법이라고 생각합니다. 지문은 추측할 수 없지만 비밀번호는 추측할 수 있습니다. 특히 1234와 같은 간단한 PIN 코드를 사용하는 경우 더욱 그렇습니다.
지문 센서 감시 공격이란 무엇입니까?
"지문 센서 스파이 공격"은 Samsung, HTC 및 Huawei 휴대폰에서 작동합니다. Wei와 Zhang에 따르면 일부 제조업체는 지문 센서를 잠그지 못했습니다. 분명히 일부는 루트 대신 시스템 수준 권한으로만 보호되므로 해킹하기가 더 쉽습니다. 대부분의 보안 관련 소프트웨어에는 루트 액세스가 필요하므로 해커가 방해하기가 더 복잡합니다.
해커가 실제로 어떻게 지문 센서 자체에 접근할 수 있는지는 설명되지 않았지만 공격자는 일단 공격이 이루어지면 휴대폰 수명이 다할 때까지 계속해서 지문을 읽을 수 있습니다.
또한 해커가 다른 공격인 "Confused Authorization Attack"을 통해 어떻게 정보를 제공할 수 있는지도 보여주었습니다. 지문이 인식되면 실제로 백그라운드에서 송금이 가능한 가짜 잠금 화면 받아들여졌습니다. 하지만 보고서에서는 현재 휴대폰이 실제로 이러한 유형의 공격에 취약한지는 나타내지 않았습니다.
지문은 장치 잠금을 해제하는 데 사용될 뿐만 아니라 모바일 결제 및 은행 거래에도 사용되므로 매우 심각할 수 있습니다. 지문은 또한 귀하와 개인적으로 연결되어 있으므로 변경하거나 변경할 수 없습니다.
이 문제에 대해 얼마나 당황해야 하는지는 확실하지 않습니다. Wei와 Zhang은 구형 Samsung Galaxy S5 및 HTC One Max에 대한 지문 센서 스파이 공격을 시연했지만 최신 Galaxy S6 또는 Galaxy S6 Edge에도 동일한 취약점이 있는지 언급하지 않았습니다. 또한, 보고서에 따르면 삼성과 HTC 모두 취약점에 대한 통보를 받은 후 패치를 발행한 것으로 나타났습니다.
이제 iPhone 사용자라면 Apple이 스캐너의 지문 데이터를 더 잘 암호화한다는 사실을 알게 되어 기쁠 것입니다. 좋은 소식은 Google이 지문 보안 지원을 구현하고 있다는 것입니다. 안드로이드M이므로 앞으로 모든 Android 휴대전화에서 보안이 더욱 강화될 가능성이 높습니다. 이에 대해 Wei와 Zhang은 소비자가 더 나은 보호를 위해 항상 최신 소프트웨어가 포함된 최신 휴대폰을 구입할 것을 권장합니다.
편집자의 추천
- 삼성의 새로운 안드로이드 태블릿에 큰 문제가 있습니다
- 이 주요 Apple 버그로 인해 해커가 사진을 훔치고 기기를 지울 수 있습니다.
- 이 80개 이상의 앱은 iPhone 또는 Android 기기에서 애드웨어를 실행할 수 있습니다.
- 안드로이드는 무선 헤드폰을 위한 최고의 아이폰 기능 중 하나를 훔치고 있습니다.
- 삼성은 심각한 보안 문제로부터 휴대폰을 구했습니다
당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속해서 살펴볼 수 있도록 도와줍니다.
