Raziskovalca FireEye Tao Wei in Yulong Zhang prikazano na konferenci Black Hat kako lahko hekerji na daljavo ukradejo prstne odtise, ne da bi lastnik naprave sploh vedel za to. Še bolj nevarno je, da je to mogoče storiti v "velikem obsegu".
Priporočeni videoposnetki
Posodobil 8. 11. 2015 Robert Nazarian: Dodano v komentarjih HTC, Samsung in Yulong Zhang.
Obrnili smo se na HTC in Samsung, da potrdimo, da so bili izdani popravki za HTC One Max in Galaxy S5. Samsung smo vprašali tudi, ali je Galaxy S6, Galaxy S6 Edge, ali katere koli druge naprave imajo enako ranljivost.
"Težavo smo že obravnavali za HTC One Max in ne vpliva na druge naprave HTC."
Na podlagi naslednjega HTC-jevega komentarja smo prepričani, da so bile vse različice One Max pri operaterjih popravljene:
»HTC je seznanjen s poročilom FireEye o varnosti bralnika prstnih odtisov. Težavo za HTC One Max smo že obravnavali v vseh regijah in ne vpliva na druge naprave HTC. Kot vedno HTC jemlje varnostna vprašanja zelo resno in jih postavlja na prvo mesto.”
Samsungov komentar ne omenja posodobitve popravka, vendar nakazuje, da so vsi telefoni Galaxy S5 varni:
»Samsung jemlje varnost prstnih odtisov zelo resno in seznanjeni smo s poročilom FireEye o ranljivosti senzorja prstnih odtisov. Po temeljitem pregledu s FireEye je bilo ugotovljeno, da vsi podatki uporabnikov Galaxy S5 ostajajo varni.”
Na žalost Samsung ni omenil statusa Galaxy S6, Galaxy S6 Edge ali katerega koli drugega telefona, ki ima senzorje prstnih odtisov. Znova smo se obrnili na podjetje in to objavo bomo posodobili, ko bomo prejeli odgovor.
"Po temeljitem pregledu s FireEye je bilo ugotovljeno, da vsi podatki uporabnikov Galaxy S5 ostajajo varni."
Kontaktirali smo tudi Yulonga Zhanga in ga vprašali o Galaxy S6, Galaxy S6 Edge ali drugih telefonih, ki bi lahko bili ranljivi za varnostni napad senzorja prstnih odtisov. Na žalost ni mogel zagotoviti vpogleda v to, ali vpliva na druge naprave.
Zhang je ponovil, da iPhone ni ranljiv, saj so podatki o prstnih odtisih šifrirani. Apple kupil AuthenTec leta 2012, ki zagotavlja senzorje prstnih odtisov za iPhone. Applovo lastništvo v podjetju olajša nadzor nad varnostjo, medtem ko Samsung in drugi Android proizvajalci so prepuščeni na milost in nemilost tretjim proizvajalcem strojne opreme.
HTC-jev in Samsungov popravek vključuje zaklepanje senzorjev prstnih odtisov, vendar podatki ostanejo nešifrirani zaradi omejitev strojne opreme. Proizvajalci Androida bodo verjetno lahko v prihodnosti zaščitili strojno opremo, ki jim bo omogočala šifriranje podatkov o prstnih odtisih.
Z vso to negativnostjo okoli senzorjev prstnih odtisov Zhang še vedno meni, da je njihova uporaba najboljši način za zaščito telefonov in tablic. Prstnih odtisov ni mogoče uganiti, gesla pa lahko, zlasti za tista, ki uporabljajo preproste kode PIN, kot je 1234.
Kaj je vohunski napad senzorja prstnih odtisov?
»Fingerprint Sensor Spying Attack« deluje s telefoni Samsung, HTC in Huawei. Po mnenju Weija in Zhanga nekateri proizvajalci ne zaklenejo senzorja prstnih odtisov. Očitno so nekateri varovani le s privilegiji na ravni sistema namesto root, kar olajša vdor. Večina programske opreme, povezane z varnostjo, zahteva korenski dostop, zaradi česar je hekerjem težje preprečiti.
Ni bilo pojasnjeno, kako heker dejansko pridobi dostop do samega senzorja prstnih odtisov, vendar lahko napadalec nadaljuje z branjem prstnih odtisov do konca življenjske dobe telefona, ko je napad izveden.
Pokazalo se je tudi, da lahko heker zagotovi z drugačnim napadom, »napadom zmedene avtorizacije«. lažni zaklenjeni zaslon, ki bi dejansko omogočil prenos denarja v ozadju, ko je prstni odtis sprejeto. Poročilo ni navedlo, ali je kateri od trenutnih telefonov dejansko ranljiv za to vrsto napada.
Pridobitev prstnega odtisa bi lahko bila zelo resna, saj se ne uporabljajo samo za odklepanje naprave, ampak tudi za mobilna plačila in bančne transakcije. Tudi prstni odtisi so vezani na vas osebno in jih očitno ni mogoče spremeniti ali spremeniti.
Ni jasno, kako panični morate biti pri tem. Wei in Zhang sta predstavila vohunski napad senzorja prstnih odtisov na starejših Samsung Galaxy S5 in HTC One Max, nista pa omenila, ali imata novejši Galaxy S6 ali Galaxy S6 Edge enako ranljivost. Poleg tega poročilo navaja, da sta tako Samsung kot HTC izdala popravke, potem ko sta bila obveščena o ranljivosti.
Zdaj, če ste uporabnik iPhone-a, boste veseli, da Apple bolje šifrira podatke o prstnih odtisih iz optičnega bralnika. Dobra novica je, da Google uvaja podporo za varnost prstnih odtisov v Android M, tako da bo verjetno bolj varen na vseh telefonih Android, ki se premikajo naprej. Ko že govorimo o tem, Wei in Zhang priporočata, da potrošniki vedno kupujejo najnovejše telefone z najnovejšo programsko opremo za boljšo zaščito.
Priporočila urednikov
- S Samsungovimi novimi tablicami Android obstaja velika težava
- Ta velika Applova napaka bi lahko hekerjem omogočila krajo vaših fotografij in brisanje vaše naprave
- Teh 80+ aplikacij lahko izvaja oglaševalsko programsko opremo v napravi iPhone ali Android
- Android krade eno najboljših funkcij iPhone za brezžične slušalke
- Samsung je rešil vaš telefon pred neprijetno varnostno težavo
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
