Pesquisadores da FireEye, Tao Wei e Yulong Zhang demonstrado na conferência Black Hat como os hackers podem roubar impressões digitais remotamente sem que o proprietário do dispositivo saiba disso. Ainda mais perigoso, isto pode ser feito em “grande escala”.
Vídeos recomendados
Atualizado em 11/08/2015 por Robert Nazarian: Adicionado comentários de HTC, Samsung e Yulong Zhang.
Entramos em contato com a HTC e a Samsung para confirmar que os patches foram emitidos para o HTC One Max e o Galaxy S5. Também perguntamos à Samsung se o Galáxia S6, Galáxia S6 borda, ou quaisquer outros dispositivos têm a mesma vulnerabilidade.
“Já resolvemos o problema do HTC One Max e isso não afeta nenhum outro dispositivo HTC.”
Com base no seguinte comentário da HTC, temos certeza de que todas as versões de operadora do One Max foram corrigidas:
“A HTC está ciente do relatório da FireEye sobre segurança do scanner de impressão digital. Já abordamos o problema do HTC One Max em todas as regiões e isso não afeta nenhum outro dispositivo HTC. Como sempre, a HTC leva as questões de segurança muito a sério e faz delas uma prioridade máxima.”
O comentário da Samsung não menciona uma atualização de patch, mas indica que todos os telefones Galaxy S5 são seguros:
“A Samsung leva muito a sério a segurança das impressões digitais e estamos cientes do relatório da FireEye sobre uma vulnerabilidade no sensor de impressão digital. Após uma análise completa com a FireEye, descobriu-se que todos os dados dos usuários do Galaxy S5 permanecem seguros.”
Infelizmente, a Samsung não mencionou o status do Galaxy S6, Galaxy S6 Edge ou qualquer outro telefone que possua sensores de impressão digital. Entramos em contato com a empresa novamente e atualizaremos esta postagem quando recebermos resposta.
“Após uma análise completa com a FireEye, descobriu-se que todos os dados dos usuários do Galaxy S5 permanecem seguros.”
Também entramos em contato com Yulong Zhang e perguntamos sobre o Galaxy S6, Galaxy S6 Edge ou qualquer outro telefone que possa ser vulnerável ao ataque de segurança do sensor de impressão digital. Infelizmente, ele não pôde fornecer informações sobre se isso afeta outros dispositivos.
Zhang reiterou que o iPhone não é vulnerável, pois os dados das impressões digitais são criptografados. Maçã comprou AuthenTec em 2012, que fornece os sensores de impressão digital para o iPhone. A propriedade da Apple na empresa facilita o controle da segurança, enquanto a Samsung e outros Android os fabricantes estão à mercê de empresas de hardware terceirizadas.
A correção da HTC e da Samsung envolve o bloqueio dos sensores de impressão digital, mas os dados permanecem não criptografados devido a limitações de hardware. Os fabricantes de Android provavelmente conseguirão proteger hardware que lhes permita criptografar dados de impressões digitais no futuro.
Com toda essa negatividade em torno dos sensores de impressão digital, Zhang ainda acha que usá-los é a melhor maneira de proteger telefones e tablets. As impressões digitais não podem ser adivinhadas, mas as senhas podem, especialmente para aquelas que usam códigos PIN simples como 1234.
O que é o ataque de espionagem do sensor de impressão digital?
O “Ataque de espionagem do sensor de impressão digital” funciona com telefones Samsung, HTC e Huawei. De acordo com Wei e Zhang, alguns fabricantes não conseguem bloquear o sensor de impressão digital. Aparentemente, alguns são protegidos apenas por privilégios de nível de sistema em vez de root, o que facilita a invasão. A maioria dos softwares relacionados à segurança requer acesso root, tornando mais complicado para os hackers impedirem.
Não foi explicado como o hacker realmente obtém acesso ao sensor de impressão digital, mas o invasor pode continuar a ler as impressões digitais durante a vida útil do telefone, uma vez que o ataque esteja em vigor.
Também foi demonstrado que através de um ataque diferente, “Ataque de Autorização Confusa”, como um hacker poderia fornecer uma tela de bloqueio falsa que permitiria uma transferência de dinheiro em segundo plano assim que uma impressão digital fosse aceitaram. O relatório não indicou se algum telefone atual é realmente vulnerável a esse tipo de ataque.
A obtenção de uma impressão digital pode ser muito séria, pois ela não é usada apenas para desbloquear o dispositivo, mas também para fazer pagamentos móveis e transações bancárias. As impressões digitais também estão vinculadas a você pessoalmente e obviamente não podem ser alteradas ou alteradas.
Não está claro o quão em pânico você precisa estar neste caso. Wei e Zhang demonstraram o ataque de espionagem do sensor de impressão digital no antigo Samsung Galaxy S5 e HTC One Max, mas não mencionaram se o mais recente Galaxy S6 ou Galaxy S6 Edge tem a mesma vulnerabilidade. Além disso, o relatório indica que tanto a Samsung quanto a HTC emitiram patches após serem notificadas sobre a vulnerabilidade.
Agora, se você é usuário de iPhone, ficará feliz em saber que a Apple faz um trabalho melhor ao criptografar os dados de impressão digital do scanner. A boa notícia é que o Google está implementando suporte à segurança de impressão digital em Andróide M, portanto, é provável que seja mais seguro em todos os telefones Android daqui para frente. Falando nisso, Wei e Zhang recomendam que os consumidores sempre comprem os telefones mais recentes com o software mais recente para melhor proteção.
Recomendações dos Editores
- Há um grande problema com os novos tablets Android da Samsung
- Este grande bug da Apple pode permitir que hackers roubem suas fotos e limpem seu dispositivo
- Esses mais de 80 aplicativos podem estar executando adware no seu iPhone ou dispositivo Android
- O Android está roubando um dos melhores recursos do iPhone para fones de ouvido sem fio
- A Samsung salvou seu telefone de um problema de segurança desagradável
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
