Дослідники FireEye Тао Вей і Юлонг Чжан продемонстровано на конференції Black Hat як хакери можуть віддалено викрасти відбитки пальців, не знаючи про це власника пристрою. Що ще небезпечніше, це можна зробити у «великих масштабах».
Рекомендовані відео
Оновлено 08-11-2015 Робертом Назаряном: Додано в коментарях від HTC, Samsung і Yulong Zhang.
Ми звернулися до HTC і Samsung, щоб підтвердити наявність виправлень для HTC One Max і Galaxy S5. Ми також запитали Samsung, чи Galaxy S6, Galaxy S6 Edgeабо будь-які інші пристрої мають таку саму вразливість.
«Ми вже розглянули проблему для HTC One Max, і вона не впливає на інші пристрої HTC».
Виходячи з наступного коментаря від HTC, ми впевнені, що всі версії One Max від операторів були виправлені:
«HTC знає про звіт FireEye щодо безпеки сканера відбитків пальців. Ми вже розглянули проблему для HTC One Max у всіх регіонах, і вона не впливає на інші пристрої HTC. Як завжди, HTC дуже серйозно ставиться до питань безпеки та робить це головним пріоритетом».
У коментарі Samsung не згадується про оновлення виправлення, але вказується, що всі телефони Galaxy S5 безпечні:
«Samsung дуже серйозно ставиться до захисту відбитків пальців, і ми знаємо про звіт FireEye про вразливість датчика відбитків пальців. Після ретельної перевірки FireEye було виявлено, що всі дані користувачів Galaxy S5 залишаються в безпеці».
На жаль, Samsung не згадала статус Galaxy S6, Galaxy S6 Edge або будь-яких інших телефонів, які мають датчики відбитків пальців. Ми знову звернулися до компанії та оновимо цю публікацію, коли отримаємо відповідь.
«Після ретельної перевірки FireEye було виявлено, що всі дані користувачів Galaxy S5 залишаються в безпеці».
Ми також зв’язалися з Юлонг Чжаном і запитали його про Galaxy S6, Galaxy S6 Edge або будь-які інші телефони, які можуть бути вразливими до атаки безпеки датчика відбитків пальців. На жаль, він не зміг надати уявлення про те, чи впливає це на інші пристрої.
Чжан повторив, що iPhone не є вразливим, оскільки дані відбитків пальців зашифровані. Яблуко придбав AuthenTec у 2012 році, який забезпечує датчики відбитків пальців для iPhone. Власність Apple у компанії полегшує контроль безпеки, тоді як Samsung та інші Android виробники віддані на милість сторонніх компаній-виробників обладнання.
Виправлення від HTC і Samsung передбачає блокування датчиків відбитків пальців, але дані залишаються незашифрованими через апаратні обмеження. У майбутньому виробники Android, ймовірно, зможуть захистити обладнання, яке дозволить їм шифрувати дані відбитків пальців.
З огляду на весь цей негатив навколо датчиків відбитків пальців, Чжан усе ще вважає, що їх використання – найкращий спосіб захистити телефони та планшети. Відбитки пальців неможливо вгадати, але паролі можна, особливо для тих, які використовують прості PIN-коди, наприклад 1234.
Що таке шпигунська атака на датчик відбитків пальців?
«Шпигунська атака на датчик відбитків пальців» працює з телефонами Samsung, HTC і Huawei. За словами Вей і Чжана, деякі виробники не можуть заблокувати датчик відбитків пальців. Очевидно, деякі з них захищені лише привілеями системного рівня, а не root-правами, що полегшує злам. Більшість програмного забезпечення, пов’язаного з безпекою, потребує кореневого доступу, що робить його складнішим для хакерів.
Не було пояснено, як хакер насправді отримує доступ до самого датчика відбитків пальців, але зловмисник може продовжувати зчитувати відбитки пальців протягом усього життя телефону після того, як атака буде здійснена.
Також було показано, що за допомогою іншої атаки, «атаки плутаної авторизації», як хакер може забезпечити фальшивий екран блокування, який фактично увімкне переказ грошей у фоновому режимі після відбитка пальця прийнято. У звіті не вказано, чи дійсно будь-які поточні телефони вразливі до цього типу атак.
Отримання відбитків пальців може бути дуже серйозним, оскільки вони використовуються не лише для розблокування пристрою, а й для здійснення мобільних платежів і банківських операцій. Відбитки пальців також пов’язані з вами особисто і, очевидно, не можуть бути змінені чи змінені.
Незрозуміло, наскільки вам потрібно панікувати з цього приводу. Вей і Чжан продемонстрували шпигунську атаку на датчик відбитків пальців на старіших моделях Samsung Galaxy S5 і HTC One Max, але не згадали, чи є така вразливість у нових Galaxy S6 або Galaxy S6 Edge. Крім того, у звіті зазначено, що і Samsung, і HTC випустили виправлення після того, як отримали повідомлення про вразливість.
Тепер, якщо ви користуєтеся iPhone, ви будете раді дізнатися, що Apple краще справляється з шифруванням даних відбитків пальців зі сканера. Доброю новиною є те, що Google впроваджує підтримку безпеки відбитків пальців у Android M, тож він, імовірно, стане більш безпечним на всіх телефонах Android, що рухаються вперед. Говорячи про це, Вей і Чжан рекомендують споживачам завжди купувати новітні телефони з найновішим програмним забезпеченням для кращого захисту.
Рекомендації редакції
- Є велика проблема з новими планшетами Android від Samsung
- Ця серйозна помилка Apple може дозволити хакерам викрасти ваші фотографії та стерти ваш пристрій
- Ці понад 80 програм можуть запускати рекламне ПЗ на вашому пристрої iPhone або Android
- Android краде одну з найкращих функцій iPhone для бездротових навушників
- Samsung врятував ваш телефон від неприємної проблеми безпеки
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
