FireEye-forskerne Tao Wei og Yulong Zhang demonstrert på Black Hat-konferansen hvordan hackere eksternt kan stjele fingeravtrykk uten at eieren av enheten noen gang vet om det. Enda farligere, dette kan gjøres i "stor skala."
Anbefalte videoer
Oppdatert 08-11-2015 av Robert Nazarian: Lagt til i kommentarer fra HTC, Samsung og Yulong Zhang.
Vi tok kontakt med både HTC og Samsung for å bekrefte at det ble utstedt oppdateringer for både HTC One Max og Galaxy S5. Vi spurte også Samsung om Galaxy S6, Galaxy S6 Edge, eller andre enheter har samme sårbarhet.
"Vi har allerede tatt opp problemet for HTC One Max, og det påvirker ikke noen andre HTC-enheter."
Basert på følgende kommentar fra HTC, føler vi oss sikre på at alle operatørversjoner av One Max ble lappet:
"HTC er klar over FireEye-rapporten om fingeravtrykkskannersikkerhet. Vi har allerede tatt opp problemet for HTC One Max i alle regioner, og det påvirker ikke andre HTC-enheter. Som alltid tar HTC sikkerhetsproblemer veldig alvorlig og gjør det til en topp prioritet.»
Samsungs kommentar nevner ikke en patchoppdatering, men indikerer at alle Galaxy S5-telefoner er trygge:
"Samsung tar fingeravtrykksikkerhet veldig alvorlig, og vi er klar over FireEyes rapport om en sårbarhet med fingeravtrykksensoren. Etter en grundig gjennomgang med FireEye, ble det funnet at alle Galaxy S5-brukeres data forblir trygge.»
Dessverre nevnte ikke Samsung statusen til Galaxy S6, Galaxy S6 Edge eller andre telefoner som har fingeravtrykkssensorer. Vi har kontaktet selskapet igjen, og vi vil oppdatere dette innlegget når vi hører tilbake.
"Etter en grundig gjennomgang med FireEye, ble det funnet at alle Galaxy S5-brukeres data forblir trygge."
Vi kontaktet også Yulong Zhang og spurte ham om Galaxy S6, Galaxy S6 Edge eller andre telefoner som kan være sårbare for fingeravtrykksensorens sikkerhetsangrep. Dessverre kunne han ikke gi innsikt i om det påvirker andre enheter.
Zhang gjentok at iPhone ikke er sårbar siden fingeravtrykkdataene er kryptert. eple kjøpte AuthenTec i 2012, som gir fingeravtrykksensorene for iPhone. Apples eierskap i selskapet gjør det lettere å kontrollere sikkerheten, mens Samsung og andre Android produsenter er prisgitt tredjeparts maskinvareselskaper.
HTCs og Samsungs løsning innebærer å låse fingeravtrykksensorene, men dataene forblir ukrypterte på grunn av maskinvarebegrensninger. Android-produsenter vil sannsynligvis være i stand til å sikre maskinvare som lar dem kryptere fingeravtrykkdata i fremtiden.
Med all denne negativiteten rundt fingeravtrykksensorer, føler Zhang fortsatt at å bruke dem den beste måten å sikre telefoner og nettbrett. Fingeravtrykk kan ikke gjettes, men passord kan, spesielt for de som bruker enkle PIN-koder som 1234.
Hva er fingeravtrykksensorens spionangrep?
"Fingerprint Sensor Spying Attack" fungerer med Samsung-, HTC- og Huawei-telefoner. Ifølge Wei og Zhang klarer ikke noen produsenter å låse fingeravtrykksensoren. Tilsynelatende er noen bare bevoktet av systemnivåprivilegier i stedet for root, noe som gjør det lettere å hacke seg inn. Mest sikkerhetsrelatert programvare krever root-tilgang, noe som gjør det mer komplisert for hackere å hindre.
Det ble ikke forklart hvordan hackeren faktisk får tilgang til selve fingeravtrykksensoren, men angriperen kan fortsette å lese fingeravtrykk for telefonens levetid når angrepet er på plass.
Det ble også vist at gjennom et annet angrep, "Confused Authorization Attack," hvordan en hacker kunne gi en falsk låseskjerm som faktisk ville muliggjøre en pengeoverføring i bakgrunnen når et fingeravtrykk er akseptert. Rapporten indikerte imidlertid ikke om noen nåværende telefoner faktisk er sårbare for denne typen angrep.
Å få et fingeravtrykk kan være svært alvorlig siden de ikke bare brukes til å låse opp enheten, men også brukes til å foreta mobilbetalinger og banktransaksjoner. Fingeravtrykk er også knyttet til deg personlig og kan selvsagt ikke endres eller endres.
Det er ikke klart hvor panikk du trenger å være på denne. Wei og Zhang demonstrerte Fingerprint Sensor Spying Attack på den eldre Samsung Galaxy S5 og HTC One Max, men nevnte ikke om den nyere Galaxy S6 eller Galaxy S6 Edge har samme sårbarhet. Videre indikerer rapporten at både Samsung og HTC utstedte oppdateringer etter å ha blitt varslet om sårbarheten.
Nå, hvis du tilfeldigvis er en iPhone-bruker, vil du gjerne vite at Apple gjør en bedre jobb med å kryptere fingeravtrykkdataene fra skanneren. Den gode nyheten er at Google implementerer støtte for fingeravtrykksikkerhet i Android M, så det vil sannsynligvis være sikrere på alle Android-telefoner fremover. Når vi snakker om det, anbefaler Wei og Zhang at forbrukere alltid kjøper de nyeste telefonene med den nyeste programvaren for bedre beskyttelse.
Redaktørenes anbefalinger
- Det er et stort problem med Samsungs nye Android-nettbrett
- Denne store Apple-feilen kan la hackere stjele bildene dine og tørke enheten din
- Disse 80+ appene kan kjøre adware på din iPhone eller Android-enhet
- Android stjeler en av de beste iPhone-funksjonene for trådløse hodetelefoner
- Samsung reddet telefonen din fra et ekkelt sikkerhetsproblem
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
