FireEye-forskarna Tao Wei och Yulong Zhang demonstrerade på Black Hat-konferensen hur hackare kan stjäla fingeravtryck på distans utan att enhetens ägare någonsin vet om det. Ännu farligare, detta kan göras i "stor skala".
Rekommenderade videor
Uppdaterad 2015-11-08 av Robert Nazarian: Lades till i kommentarer från HTC, Samsung och Yulong Zhang.
Vi tog kontakt med både HTC och Samsung för att bekräfta att patchar har utfärdats för både HTC One Max och Galaxy S5. Vi frågade också Samsung om Galaxy S6, Galaxy S6 Edge, eller andra enheter har samma sårbarhet.
"Vi har redan tagit itu med problemet för HTC One Max, och det påverkar inte några andra HTC-enheter."
Baserat på följande kommentar från HTC känner vi oss säkra på att alla operatörsversioner av One Max har patchats:
"HTC är medveten om FireEye-rapporten om säkerhet för fingeravtrycksläsare. Vi har redan tagit itu med problemet för HTC One Max i alla regioner, och det påverkar inte några andra HTC-enheter. Som alltid tar HTC säkerhetsproblem på största allvar och gör det till en högsta prioritet.”
Samsungs kommentar nämner inget om en patchuppdatering, men indikerar att alla Galaxy S5-telefoner är säkra:
"Samsung tar fingeravtryckssäkerhet på största allvar, och vi är medvetna om FireEyes rapport om en sårbarhet med fingeravtryckssensorn. Efter en grundlig granskning med FireEye fann man att alla Galaxy S5-användares data förblir säkra.”
Tyvärr nämnde Samsung inte statusen för Galaxy S6, Galaxy S6 Edge eller några andra telefoner som har fingeravtryckssensorer. Vi har kontaktat företaget igen, och vi kommer att uppdatera det här inlägget när vi hör tillbaka.
"Efter en grundlig granskning med FireEye fann man att alla Galaxy S5-användares data förblir säkra."
Vi kontaktade också Yulong Zhang och frågade honom om Galaxy S6, Galaxy S6 Edge eller andra telefoner som kan vara sårbara för Fingerprint Sensor Security Attack. Tyvärr kunde han inte ge insikt i om det påverkar andra enheter.
Zhang upprepade att iPhone inte är sårbar eftersom fingeravtrycksdata är krypterad. Äpple köpte AuthenTec 2012, som tillhandahåller fingeravtryckssensorerna för iPhone. Apples ägande i företaget gör det lättare att kontrollera säkerheten, medan Samsung och andra Android tillverkare är utlämnade till tredje parts hårdvaruföretag.
HTC: s och Samsungs fix innebär att fingeravtryckssensorerna låses, men data förblir okrypterade på grund av hårdvarubegränsningar. Android-tillverkare kommer sannolikt att kunna säkra hårdvara som gör att de kan kryptera fingeravtrycksdata i framtiden.
Med all denna negativitet kring fingeravtryckssensorer, anser Zhang fortfarande att använda dem är det bästa sättet att säkra telefoner och surfplattor. Fingeravtryck kan inte gissas, men lösenord kan, särskilt för de som använder enkla PIN-koder som 1234.
Vad är fingeravtryckssensorns spionattack?
"Fingerprint Sensor Spying Attack" fungerar med Samsung-, HTC- och Huawei-telefoner. Enligt Wei och Zhang misslyckas vissa tillverkare med att låsa fingeravtryckssensorn. Tydligen skyddas vissa bara av systemnivåprivilegier istället för root, vilket gör det lättare att hacka sig in. De flesta säkerhetsrelaterade program kräver root-åtkomst, vilket gör det mer komplicerat för hackare att förhindra.
Det förklarades inte hur hackaren faktiskt får tillgång till själva fingeravtryckssensorn, men angriparen kan fortsätta att läsa fingeravtryck under telefonens liv när attacken väl är på plats.
Det visades också att genom en annan attack, "Confused Authorization Attack", hur en hackare kunde tillhandahålla en falsk låsskärm som faktiskt skulle möjliggöra en pengaöverföring i bakgrunden när ett fingeravtryck är accepterad. Rapporten angav dock inte om några nuvarande telefoner faktiskt är sårbara för denna typ av attack.
Att få ett fingeravtryck kan vara mycket allvarligt eftersom de inte bara används för att låsa upp enheten, utan också används för att göra mobila betalningar och banktransaktioner. Fingeravtryck är också knutna till dig personligen och kan självklart inte ändras eller ändras.
Det är inte klart hur panik du behöver vara på den här. Wei och Zhang demonstrerade Fingerprint Sensor Spying Attack på den äldre Samsung Galaxy S5 och HTC One Max, men nämnde inte om den nyare Galaxy S6 eller Galaxy S6 Edge har samma sårbarhet. Dessutom indikerar rapporten att både Samsung och HTC utfärdade patchar efter att ha blivit underrättade om sårbarheten.
Nu, om du råkar vara en iPhone-användare, kommer du att bli glad att veta att Apple gör ett bättre jobb med att kryptera fingeravtrycksdata från skannern. Den goda nyheten är att Google implementerar stöd för fingeravtryckssäkerhet i Android M, så det kommer sannolikt att bli säkrare på alla Android-telefoner framåt. På tal om det rekommenderar Wei och Zhang att konsumenter alltid köper de senaste telefonerna med den senaste mjukvaran för bättre skydd.
Redaktörens rekommendationer
- Det finns ett stort problem med Samsungs nya Android-surfplattor
- Detta stora Apple-fel kan låta hackare stjäla dina foton och torka din enhet
- Dessa 80+ appar kan köra adware på din iPhone eller Android-enhet
- Android stjäl en av de bästa iPhone-funktionerna för trådlösa hörlurar
- Samsung räddade din telefon från ett otäckt säkerhetsproblem
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
