Badacze FireEye Tao Wei i Yulong Zhang zademonstrowano na konferencji Black Hat jak hakerzy mogą zdalnie kraść odciski palców bez wiedzy właściciela urządzenia. Co jeszcze bardziej niebezpieczne, można to zrobić na „na dużą skalę”.
Polecane filmy
Zaktualizowano 08-11-2015 przez Roberta Nazariana: Dodano w komentarzach HTC, Samsung i Yulong Zhang.
Skontaktowaliśmy się zarówno z HTC, jak i Samsungiem, aby potwierdzić, że wydano łatki zarówno dla HTC One Max, jak i Galaxy S5. Zapytaliśmy także Samsunga, czy Galaxy S6, Galaxy S6 Edgelub inne urządzenia posiadają tę samą lukę.
„Rozwiązaliśmy już ten problem w przypadku HTC One Max i nie ma on wpływu na żadne inne urządzenia HTC”.
Na podstawie poniższego komentarza HTC mamy pewność, że wszystkie wersje One Max na telefonach komórkowych zostały załatane:
„HTC zna raport FireEye dotyczący bezpieczeństwa skanera linii papilarnych. Rozwiązaliśmy już ten problem w przypadku HTC One Max we wszystkich regionach i nie wpływa on na żadne inne urządzenia HTC. Jak zawsze HTC podchodzi do kwestii bezpieczeństwa bardzo poważnie i traktuje je jako najwyższy priorytet.
Komentarz Samsunga nie wspomina o aktualizacji łatki, ale wskazuje, że wszystkie telefony Galaxy S5 są bezpieczne:
„Samsung bardzo poważnie podchodzi do bezpieczeństwa odcisków palców i jesteśmy świadomi raportu FireEye na temat luki w czujniku odcisków palców. Po dokładnej analizie za pomocą FireEye stwierdzono, że wszystkie dane użytkowników Galaxy S5 pozostają bezpieczne.”
Niestety Samsung nie wspomniał o stanie Galaxy S6, Galaxy S6 Edge ani żadnych innych telefonów wyposażonych w czujniki linii papilarnych. Ponownie skontaktowaliśmy się z firmą i zaktualizujemy ten post, gdy otrzymamy odpowiedź.
„Po dokładnej analizie za pomocą FireEye stwierdzono, że dane wszystkich użytkowników Galaxy S5 pozostają bezpieczne”.
Skontaktowaliśmy się również z Yulongiem Zhangiem i zapytaliśmy go o Galaxy S6, Galaxy S6 Edge lub inne telefony, które mogą być podatne na atak zabezpieczający za pomocą czujnika odcisków palców. Niestety nie był w stanie zapewnić wglądu, czy ma to wpływ na inne urządzenia.
Zhang powtórzył, że iPhone nie jest podatny na ataki, ponieważ dane odcisków palców są szyfrowane. Jabłko zakupiłem AuthenTec w 2012 roku, która zapewnia czujniki linii papilarnych dla iPhone'a. Posiadanie Apple w firmie ułatwia kontrolę bezpieczeństwa, natomiast Samsungowi i innym Android producenci są zdani na łaskę zewnętrznych firm produkujących sprzęt.
Rozwiązanie HTC i Samsunga polega na blokowaniu czujników linii papilarnych, ale dane pozostają niezaszyfrowane ze względu na ograniczenia sprzętowe. Producenci Androida prawdopodobnie będą w stanie w przyszłości zabezpieczyć sprzęt, który umożliwi im szyfrowanie danych odcisków palców.
Mimo całej tej negatywnej opinii na temat czujników linii papilarnych Zhang nadal uważa, że ich używanie to najlepszy sposób na zabezpieczenie telefonów i tabletów. Odcisków palców nie można odgadnąć, ale hasła tak, zwłaszcza w przypadku tych, które używają prostych kodów PIN, takich jak 1234.
Na czym polega atak szpiegowski z użyciem czujnika odcisków palców?
„Atak szpiegowski na czujnik odcisków palców” działa z telefonami Samsung, HTC i Huawei. Według Wei i Zhanga niektórzy producenci nie blokują czujnika odcisków palców. Najwyraźniej niektóre są chronione jedynie przez uprawnienia na poziomie systemu, a nie przez roota, co ułatwia włamanie. Większość oprogramowania związanego z bezpieczeństwem wymaga dostępu do konta root, co utrudnia hakerom udaremnienie.
Nie wyjaśniono, w jaki sposób haker faktycznie uzyskuje dostęp do samego czujnika odcisków palców, ale osoba atakująca może nadal odczytywać odciski palców przez cały okres użytkowania telefonu po przeprowadzeniu ataku.
Wykazano również, że haker może to zapewnić za pomocą innego ataku, „ataku zdezorientowanej autoryzacji”. fałszywy ekran blokady, który faktycznie umożliwiłby transfer pieniędzy w tle po pobraniu odcisku palca przyjęty. W raporcie nie wskazano jednak, czy jakiekolwiek obecne telefony są rzeczywiście podatne na tego typu ataki.
Pozyskanie odcisków palców może być bardzo poważne, ponieważ służą one nie tylko do odblokowywania urządzenia, ale także do dokonywania płatności mobilnych i transakcji bankowych. Odciski palców są również powiązane z Tobą osobiście i oczywiście nie można ich zmieniać ani zmieniać.
Nie jest jasne, jak bardzo musisz wpadać w panikę w tej sytuacji. Wei i Zhang zademonstrowali atak szpiegowski za pomocą czujnika odcisków palców na starszych Samsungach Galaxy S5 i HTC One Max, ale nie wspomnieli, czy nowsze Galaxy S6 lub Galaxy S6 Edge mają tę samą lukę. Co więcej, raport wskazuje, że zarówno Samsung, jak i HTC wydały łatki po otrzymaniu powiadomienia o luce.
Teraz, jeśli jesteś użytkownikiem iPhone'a, z przyjemnością dowiesz się, że Apple radzi sobie lepiej z szyfrowaniem danych odcisków palców ze skanera. Dobra wiadomość jest taka, że Google wdraża obsługę zabezpieczeń odcisków palców w Androida M, więc w przyszłości prawdopodobnie będzie bezpieczniej na wszystkich telefonach z Androidem. Skoro już o tym mowa, Wei i Zhang zalecają, aby konsumenci zawsze kupowali najnowsze telefony z najnowszym oprogramowaniem zapewniającym lepszą ochronę.
Zalecenia redaktorów
- Z nowymi tabletami Samsunga z Androidem jest duży problem
- Ten poważny błąd Apple może pozwolić hakerom ukraść Twoje zdjęcia i wyczyścić urządzenie
- Te ponad 80 aplikacji może uruchamiać oprogramowanie reklamowe na Twoim iPhonie lub urządzeniu z Androidem
- Android kradnie jedną z najlepszych funkcji iPhone'a dla słuchawek bezprzewodowych
- Samsung uratował Twój telefon przed nieprzyjemnym problemem związanym z bezpieczeństwem
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
