FireEye pētnieki Tao Vei un Julongs Džans demonstrēja Black Hat konferencē kā hakeri var attālināti nozagt pirkstu nospiedumus, ierīces īpašniekam par to nezinot. Vēl bīstamāk, to var izdarīt "lielā mērogā".
Ieteiktie videoklipi
2015. gada 8. 11. atjaunināja Roberts Nazarians: Pievienots komentāros no HTC, Samsung un Yulong Zhang.
Mēs sazinājāmies gan ar HTC, gan Samsung, lai apstiprinātu, ka ir izdoti ielāpi gan HTC One Max, gan Galaxy S5. Mēs arī jautājām Samsung, vai Galaxy S6, Galaxy S6 Edge, vai citām ierīcēm ir tāda pati ievainojamība.
"Mēs jau esam risinājuši problēmu saistībā ar HTC One Max, un tas neietekmē citas HTC ierīces."
Pamatojoties uz šo HTC komentāru, mēs esam pārliecināti, ka visas One Max mobilo sakaru operatora versijas ir izlabotas:
“HTC ir informēts par FireEye ziņojumu par pirkstu nospiedumu skenera drošību. Mēs jau esam risinājuši problēmu saistībā ar HTC One Max visos reģionos, un tā neietekmē citas HTC ierīces. Kā vienmēr, HTC drošības jautājumus uztver ļoti nopietni un padara to par galveno prioritāti.
Samsung komentārā nav minēts par ielāpu atjauninājumu, taču tas norāda, ka visi Galaxy S5 tālruņi ir droši:
“Samsung ļoti nopietni uztver pirkstu nospiedumu drošību, un mēs esam informēti par FireEye ziņojumu par pirkstu nospiedumu sensora ievainojamību. Pēc rūpīgas pārskatīšanas ar FireEye tika konstatēts, ka visi Galaxy S5 lietotāju dati joprojām ir drošībā.
Diemžēl Samsung neminēja Galaxy S6, Galaxy S6 Edge vai citu tālruņu statusu, kuriem ir pirkstu nospiedumu sensori. Mēs atkal esam sazinājušies ar uzņēmumu, un mēs atjaunināsim šo ziņu, kad saņemsim atbildi.
"Pēc rūpīgas pārskatīšanas ar FireEye tika konstatēts, ka visi Galaxy S5 lietotāju dati joprojām ir drošībā."
Mēs arī sazinājāmies ar Yulong Zhang un jautājām viņam par Galaxy S6, Galaxy S6 Edge vai citiem tālruņiem, kas varētu būt neaizsargāti pret pirkstu nospiedumu sensora drošības uzbrukumu. Diemžēl viņš nevarēja sniegt ieskatu par to, vai tas ietekmē citas ierīces.
Džans atkārtoja, ka iPhone nav neaizsargāts, jo pirkstu nospiedumu dati ir šifrēti. Apple iegādājās AuthenTec 2012. gadā, kas nodrošina iPhone pirkstu nospiedumu sensorus. Apple īpašumtiesības uzņēmumā ļauj vieglāk kontrolēt drošību, savukārt Samsung un citi Android ražotāji ir trešo pušu aparatūras uzņēmumu žēlastībā.
HTC un Samsung labojums ietver pirkstu nospiedumu sensoru bloķēšanu, taču dati paliek nešifrēti aparatūras ierobežojumu dēļ. Android ražotāji, visticamāk, varēs nodrošināt aparatūru, kas ļaus viņiem šifrēt pirkstu nospiedumu datus nākotnē.
Ņemot vērā visu šo negatīvo attieksmi pret pirkstu nospiedumu sensoriem, Džans joprojām uzskata, ka to izmantošana ir labākais veids, kā aizsargāt tālruņus un planšetdatorus. Pirkstu nospiedumus nevar uzminēt, bet paroles var, īpaši tiem, kas izmanto vienkāršus PIN kodus, piemēram, 1234.
Kas ir pirkstu nospiedumu sensora spiegošanas uzbrukums?
“Pirkstu nospiedumu sensora spiegošanas uzbrukums” darbojas ar Samsung, HTC un Huawei tālruņiem. Saskaņā ar Wei un Zhang teikto, daži ražotāji nespēj bloķēt pirkstu nospiedumu sensoru. Acīmredzot dažus aizsargā tikai sistēmas līmeņa privilēģijas, nevis root tiesības, kas atvieglo uzlaušanu. Lielākajai daļai ar drošību saistītās programmatūras ir nepieciešama root piekļuve, kas hakeriem padara to sarežģītāku.
Netika izskaidrots, kā hakeris faktiski iegūst piekļuvi pašam pirkstu nospiedumu sensoram, taču uzbrucējs var turpināt lasīt pirkstu nospiedumus tālruņa mūža garumā, tiklīdz uzbrukums ir noticis.
Tika arī parādīts, ka hakeris var nodrošināt, izmantojot citu uzbrukumu, “Samulsis autorizācijas uzbrukums”. viltus bloķēšanas ekrāns, kas faktiski iespējotu naudas pārskaitījumu fonā, tiklīdz ir iegūts pirksta nospiedums pieņemts. Tomēr ziņojumā nav norādīts, vai kāds pašreizējais tālrunis ir neaizsargāts pret šāda veida uzbrukumiem.
Pirkstu nospiedumu iegūšana var būt ļoti nopietna lieta, jo tos izmanto ne tikai ierīces atbloķēšanai, bet arī mobilo maksājumu un bankas darījumu veikšanai. Pirkstu nospiedumi ir piesaistīti arī jums personīgi, un tos acīmredzami nevar mainīt vai mainīt.
Nav skaidrs, cik panikā jums vajadzētu būt par šo. Vejs un Džans demonstrēja pirkstu nospiedumu sensora spiegošanas uzbrukumu vecākajiem Samsung Galaxy S5 un HTC One Max, taču neminēja, vai jaunākajam Galaxy S6 vai Galaxy S6 Edge ir tāda pati ievainojamība. Turklāt ziņojumā norādīts, ka gan Samsung, gan HTC izlaida ielāpus pēc paziņojuma par ievainojamību.
Tagad, ja esat iPhone lietotājs, jūs priecāsities uzzināt, ka Apple paveic labāku darbu, šifrējot skenera pirkstu nospiedumu datus. Labā ziņa ir tā, ka Google ievieš pirkstu nospiedumu drošības atbalstu Android M, tāpēc tas, visticamāk, būs drošāks visos Android tālruņos. Runājot par to, Wei un Zhang iesaka patērētājiem vienmēr iegādāties jaunākos tālruņus ar jaunāko programmatūru, lai nodrošinātu labāku aizsardzību.
Redaktoru ieteikumi
- Ir liela problēma ar Samsung jaunajām Android planšetdatoriem
- Šī lielā Apple kļūda var ļaut hakeriem nozagt jūsu fotoattēlus un notīrīt ierīci
- Šajās vairāk nekā 80 lietotnēs var darboties reklāmprogrammatūra jūsu iPhone vai Android ierīcē
- Android zog vienu no labākajām iPhone funkcijām bezvadu austiņām
- Samsung paglāba jūsu tālruni no šķebinošas drošības problēmas
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
