Исследователи FireEye Тао Вэй и Юлун Чжан продемонстрировано на конференции Black Hat как хакеры могут удаленно украсть отпечатки пальцев, при этом владелец устройства даже не узнает об этом. Еще более опасно то, что это может быть сделано в «больших масштабах».
Рекомендуемые видео
Обновлено Робертом Назаряном от 11.08.2015: Добавлены комментарии HTC, Samsung и Yulong Zhang.
Мы связались с HTC и Samsung, чтобы подтвердить выпуск исправлений для HTC One Max и Galaxy S5. Мы также спросили у Samsung, есть ли Галактика С6, Галактика С6 Крайили любые другие устройства имеют такую же уязвимость.
«Мы уже решили проблему для HTC One Max, и она не затрагивает другие устройства HTC».
Основываясь на следующем комментарии HTC, мы уверены, что все операторские версии One Max были исправлены:
«HTC известно об отчете FireEye о безопасности сканера отпечатков пальцев. Мы уже решили проблему для HTC One Max во всех регионах, и она не затрагивает другие устройства HTC. Как всегда, HTC очень серьезно относится к вопросам безопасности и делает их главным приоритетом».
В комментарии Samsung не упоминается об обновлении патча, но указывается, что все телефоны Galaxy S5 безопасны:
«Samsung очень серьезно относится к безопасности отпечатков пальцев, и нам известно об отчете FireEye об уязвимости датчика отпечатков пальцев. После тщательной проверки FireEye выяснилось, что данные всех пользователей Galaxy S5 остаются в безопасности».
К сожалению, Samsung не упомянула о состоянии Galaxy S6, Galaxy S6 Edge или любых других телефонов, оснащенных датчиками отпечатков пальцев. Мы снова обратились к компании и обновим этот пост, когда получим ответ.
«После тщательной проверки FireEye было обнаружено, что данные всех пользователей Galaxy S5 остаются в безопасности».
Мы также связались с Юлонгом Чжаном и спросили его о Galaxy S6, Galaxy S6 Edge или любых других телефонах, которые могут быть уязвимы для атаки на датчик отпечатков пальцев. К сожалению, он не смог дать представление о том, влияет ли это на другие устройства.
Чжан повторил, что iPhone не уязвим, поскольку данные отпечатков пальцев зашифрованы. Яблоко купил AuthenTec в 2012 году, который предоставляет датчики отпечатков пальцев для iPhone. Участие Apple в компании облегчает контроль безопасности, тогда как Samsung и другие Андроид производители находятся во власти сторонних компаний-производителей оборудования.
Решение HTC и Samsung включает блокировку датчиков отпечатков пальцев, но данные остаются незашифрованными из-за аппаратных ограничений. Производители Android, скорее всего, смогут защитить оборудование, которое позволит им шифровать данные отпечатков пальцев в будущем.
Несмотря на весь этот негатив вокруг датчиков отпечатков пальцев, Чжан по-прежнему считает, что их использование — лучший способ защитить телефоны и планшеты. Отпечатки пальцев невозможно угадать, но пароли можно, особенно для тех, которые используют простые PIN-коды, такие как 1234.
Что такое шпионская атака с помощью датчика отпечатков пальцев?
«Атака шпионажа с помощью датчика отпечатков пальцев» работает с телефонами Samsung, HTC и Huawei. По словам Вэя и Чжана, некоторые производители не могут заблокировать датчик отпечатков пальцев. Очевидно, некоторые из них защищены только привилегиями системного уровня, а не root, что облегчает взлом. Большинству программного обеспечения, связанного с безопасностью, требуется root-доступ, что усложняет задачу хакерам.
Не было объяснено, как хакер на самом деле получает доступ к самому датчику отпечатков пальцев, но злоумышленник может продолжать считывать отпечатки пальцев в течение всего срока службы телефона после начала атаки.
Также было показано, что с помощью другой атаки, «Атаки с запутанной авторизацией», хакер мог предоставить поддельный экран блокировки, который фактически позволяет осуществлять перевод денег в фоновом режиме после снятия отпечатка пальца принял. Однако в отчете не указано, действительно ли какие-либо современные телефоны уязвимы для атак такого типа.
Получение отпечатков пальцев может быть очень серьезной проблемой, поскольку они используются не только для разблокировки устройства, но также для совершения мобильных платежей и банковских транзакций. Отпечатки пальцев также привязаны лично к вам и, очевидно, не могут быть изменены или изменены.
Непонятно, насколько вам нужно паниковать по этому поводу. Вэй и Чжан продемонстрировали шпионскую атаку на датчик отпечатков пальцев на старых Samsung Galaxy S5 и HTC One Max, но не упомянули, есть ли такая же уязвимость в более новых Galaxy S6 или Galaxy S6 Edge. Кроме того, в отчете указывается, что и Samsung, и HTC выпустили исправления после того, как получили уведомление об уязвимости.
Теперь, если вы являетесь пользователем iPhone, вы будете рады узнать, что Apple лучше справляется с шифрованием данных отпечатков пальцев со сканера. Хорошей новостью является то, что Google внедряет поддержку безопасности по отпечаткам пальцев в Андроид М, поэтому, вероятно, в будущем он станет более безопасным на всех телефонах Android. Говоря об этом, Вэй и Чжан рекомендуют потребителям всегда покупать новейшие телефоны с новейшим программным обеспечением для лучшей защиты.
Рекомендации редакции
- Есть большая проблема с новыми Android-планшетами Samsung
- Эта серьезная ошибка Apple может позволить хакерам украсть ваши фотографии и стереть данные с вашего устройства
- Эти более 80 приложений могут запускать рекламное ПО на вашем iPhone или устройстве Android
- Android украл одну из лучших функций iPhone для беспроводных наушников
- Samsung спас ваш телефон от неприятной проблемы с безопасностью
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
