„FireEye“ tyrinėtojai Tao Wei ir Yulong Zhang pademonstruota „Black Hat“ konferencijoje kaip įsilaužėliai gali nuotoliniu būdu pavogti pirštų atspaudus, įrenginio savininkui apie tai nesužinojus. Dar pavojingiau, tai gali būti daroma „dideliu mastu“.
Rekomenduojami vaizdo įrašai
2015-11-08 atnaujino Robertas Nazarianas: Pridėta HTC, Samsung ir Yulong Zhang komentaruose.
Kreipėmės į HTC ir „Samsung“, kad patvirtintume, kad HTC One Max ir Galaxy S5 buvo išleisti pataisymai. Taip pat paklausėme „Samsung“, ar Galaxy S6, Galaxy S6 Edge, arba bet kuris kitas įrenginys turi tą patį pažeidžiamumą.
„Jau išsprendėme HTC One Max problemą ir tai neturi įtakos jokiems kitiems HTC įrenginiams.
Remdamiesi šiuo HTC komentaru, esame įsitikinę, kad visos „One Max“ operatoriaus versijos buvo pataisytos:
„HTC žino apie FireEye ataskaitą apie pirštų atspaudų skaitytuvo saugumą. Jau išsprendėme HTC One Max problemą visuose regionuose ir tai neturi įtakos jokiems kitiems HTC įrenginiams. Kaip visada, HTC labai rimtai žiūri į saugumo problemas ir teikia jiems svarbiausią prioritetą.
„Samsung“ komentare neužsimenama apie pataisos atnaujinimą, tačiau nurodoma, kad visi „Galaxy S5“ telefonai yra saugūs:
„Samsung labai rimtai žiūri į pirštų atspaudų saugumą ir žinome apie FireEye pranešimą apie pirštų atspaudų jutiklio pažeidžiamumą. Po išsamios peržiūros su „FireEye“ buvo nustatyta, kad visi „Galaxy S5“ naudotojų duomenys išlieka saugūs.
Deja, „Samsung“ nepaminėjo „Galaxy S6“, „Galaxy S6 Edge“ ar kitų telefonų, turinčių pirštų atspaudų jutiklius, būsenos. Vėl susisiekėme su įmone ir atnaujinsime šį įrašą, kai sulauksime atsakymo.
„Po išsamios peržiūros su FireEye buvo nustatyta, kad visi Galaxy S5 naudotojų duomenys išlieka saugūs.
Taip pat susisiekėme su Yulong Zhang ir paklausėme jo apie „Galaxy S6“, „Galaxy S6 Edge“ ar kitus telefonus, kurie gali būti pažeidžiami pirštų atspaudų jutiklio saugos atakos. Deja, jis negalėjo pateikti įžvalgos, ar tai turi įtakos kitiems įrenginiams.
Zhang pakartojo, kad „iPhone“ nėra pažeidžiamas, nes pirštų atspaudų duomenys yra užšifruoti. Apple įsigijo AuthenTec 2012 m, kuriame yra „iPhone“ pirštų atspaudų jutikliai. „Apple“ nuosavybės teisė įmonėje leidžia lengviau kontroliuoti saugumą, o „Samsung“ ir kt Android gamintojai yra trečiųjų šalių techninės įrangos kompanijų malonės.
„HTC“ ir „Samsung“ pataisa apima pirštų atspaudų jutiklių užrakinimą, tačiau duomenys lieka nešifruoti dėl aparatinės įrangos apribojimų. „Android“ gamintojai greičiausiai galės apsaugoti aparatinę įrangą, kuri leis jiems užšifruoti pirštų atspaudų duomenis ateityje.
Dėl viso šio neigiamo, susijusio su pirštų atspaudų jutikliais, Zhang vis dar mano, kad jų naudojimas yra geriausias būdas apsaugoti telefonus ir planšetinius kompiuterius. Pirštų atspaudų atspėti negalima, tačiau slaptažodžių galima, ypač tiems, kurie naudoja paprastus PIN kodus, pvz., 1234.
Kas yra pirštų atspaudų jutiklio šnipinėjimo ataka?
„Pirštų atspaudų jutiklio šnipinėjimo ataka“ veikia su „Samsung“, „HTC“ ir „Huawei“ telefonais. Wei ir Zhang teigimu, kai kurie gamintojai nesugeba užrakinti pirštų atspaudų jutiklio. Matyt, kai kuriuos saugo tik sistemos lygio privilegijos, o ne root, todėl lengviau įsilaužti. Daugumai su saugumu susijusios programinės įrangos reikalinga root prieiga, todėl įsilaužėliams ją sunkiau sutrukdyti.
Nebuvo paaiškinta, kaip įsilaužėlis iš tikrųjų gauna prieigą prie paties pirštų atspaudų jutiklio, tačiau užpuolikas gali toliau skaityti pirštų atspaudus visą telefono gyvenimą, kai ataka įvyksta.
Taip pat buvo parodyta, kad įsilaužėlis gali pateikti kitokią ataką „Supainiotas autorizacijos ataka“. netikras užrakto ekranas, kuris iš tikrųjų įgalintų pinigų pervedimą fone, kai tik bus gautas piršto atspaudas priimtas. Tačiau ataskaitoje nenurodyta, ar kokie nors dabartiniai telefonai iš tikrųjų yra pažeidžiami tokio tipo atakų.
Pirštų atspaudų gavimas gali būti labai rimtas dalykas, nes jie naudojami ne tik įrenginiui atrakinti, bet ir atlikti mobiliuosius mokėjimus bei banko operacijas. Pirštų atspaudai taip pat yra susieti su jumis asmeniškai ir akivaizdžiai negali būti pakeisti ar pakeisti.
Neaišku, kaip jūs turite būti panikuoti dėl šio. Wei ir Zhang demonstravo pirštų atspaudų jutiklio šnipinėjimo ataką senesniuose „Samsung Galaxy S5“ ir „HTC One Max“, tačiau nepaminėjo, ar naujesnėje „Galaxy S6“ ar „Galaxy S6 Edge“ yra tas pats pažeidžiamumas. Be to, ataskaitoje nurodoma, kad tiek „Samsung“, tiek „HTC“ išleido pataisas po to, kai buvo pranešta apie pažeidžiamumą.
Dabar, jei esate „iPhone“ naudotojas, jums bus malonu žinoti, kad „Apple“ geriau užšifruoja skaitytuvo pirštų atspaudų duomenis. Geros naujienos yra tai, kad „Google“ įdiegia pirštų atspaudų saugos palaikymą Android M, todėl greičiausiai jis bus saugesnis visuose „Android“ telefonuose. Kalbėdami apie tai, Wei ir Zhang rekomenduoja vartotojams visada pirkti naujausius telefonus su naujausia programine įranga, kad būtų užtikrinta geresnė apsauga.
Redaktorių rekomendacijos
- Yra didelė problema dėl naujų Samsung Android planšetinių kompiuterių
- Ši didelė „Apple“ klaida gali leisti įsilaužėliams pavogti jūsų nuotraukas ir ištrinti įrenginį
- Šiose 80 ir daugiau programų gali būti paleistos reklaminės programos jūsų „iPhone“ arba „Android“ įrenginyje
- „Android“ vagia vieną geriausių „iPhone“ funkcijų, skirtų belaidėms ausinėms
- „Samsung“ išgelbėjo jūsų telefoną nuo bjaurios saugos problemos
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
