Хакери можуть вкрасти відбитки пальців користувачів Android: HTC і Samsung коментують ситуацію

Здавалося б, використання відбитка пальця для розблокування смартфона є максимально безпечним, але це не завжди так. Якщо ви користуєтеся телефоном на платформі Android, вам варто звернути увагу на цю новину.

Дослідники FireEye Тао Вей (Tao Wei) і Юлонг Чжан (Yulong Zhang) продемонстрували на конференції Black Hat, як хакери можуть віддалено викрасти відбитки пальців, при цьому власник пристрою ніколи не дізнається про це. Що ще більш небезпечно, це можна робити у “великих масштабах”.

Оновлено 08-11-2015 Робертом Назаряном: Додані коментарі від HTC, Samsung і Yulong Zhang.

Ми зв’язалися з компаніями HTC і Samsung, щоб підтвердити, що патчі були випущені як для HTC One Max, так і для Galaxy S5. Ми також запитали Samsung, чи мають Galaxy S6, Galaxy S6 Edge або будь-які інші пристрої таку ж уразливість.

“Ми вже вирішили цю проблему для HTC One Max, і вона не впливає на інші пристрої HTC”.

Виходячи з наступного коментаря від HTC, ми впевнені, що всі операторські версії One Max були виправлені:

“HTC знає про звіт FireEye щодо безпеки сканера відбитків пальців. Ми вже вирішили цю проблему для HTC One Max у всіх регіонах, і вона не впливає на інші пристрої HTC. Як завжди, HTC дуже серйозно ставиться до питань безпеки і робить це своїм головним пріоритетом”.

У коментарі Samsung не згадується про патч-оновлення, але вказується, що всі телефони Galaxy S5 є безпечними:

“Samsung дуже серйозно ставиться до безпеки відбитків пальців, і ми знаємо про звіт FireEye про вразливість датчика відбитків пальців. Після ретельної перевірки за допомогою FireEye було встановлено, що всі дані користувачів Galaxy S5 залишаються в безпеці”.

На жаль, Samsung не згадала про статус Galaxy S6, Galaxy S6 Edge або будь-яких інших телефонів, які мають дактилоскопічні датчики. Ми знову зв’язалися з компанією, і ми оновимо цю публікацію, коли отримаємо відповідь.

“Після ретельної перевірки за допомогою FireEye було виявлено, що всі дані користувачів Galaxy S5 залишаються в безпеці”.

Ми також зв’язалися з Юлонгом Чжаном (Yulong Zhang) і запитали його про Galaxy S6, Galaxy S6 Edge або будь-які інші телефони, які можуть бути вразливі до атаки на безпеку датчика відбитків пальців. На жаль, він не зміг надати інформацію про те, чи впливає вона на інші пристрої.

Чжан підтвердив, що iPhone не є вразливим, оскільки дані відбитків пальців зашифровані. У 2012 році Apple придбала компанію AuthenTec, яка виробляє датчики відбитків пальців для iPhone. Власність Apple в компанії полегшує контроль над безпекою, в той час як Samsung та інші виробники Android знаходяться у владі сторонніх апаратних компаній.

Виправлення HTC і Samsung передбачає блокування датчиків відбитків пальців, але дані залишаються незашифрованими через апаратні обмеження. Виробники Android, ймовірно, зможуть в майбутньому забезпечити апаратне забезпечення, яке дозволить їм шифрувати дані відбитків пальців.

Незважаючи на весь цей негатив, пов’язаний з дактилоскопічними датчиками, Чжан все ще вважає, що їх використання – найкращий спосіб захистити телефони і планшети. Відбитки пальців не можна вгадати, але паролі можна, особливо ті, що використовують прості PIN-коди, такі як 1234.

Що таке шпигунська атака за допомогою датчика відбитків пальців?

“Атака шпигунства за допомогою датчика відбитків пальців” працює з телефонами Samsung, HTC і Huawei. За словами Вей і Чжан, деякі виробники не можуть заблокувати датчик відбитків пальців. Очевидно, деякі з них захищають його лише привілеями системного рівня, а не root, що полегшує злом. Більшість програмного забезпечення, пов’язаного з безпекою, вимагає root-доступу, що ускладнює роботу хакерів.

Не було пояснено, як саме хакер отримує доступ до самого дактилоскопічного датчика, але зловмисник може продовжувати зчитувати відбитки пальців протягом усього терміну служби телефону після того, як атака здійснена.

Також було показано, як за допомогою іншої атаки, “Атаки з переплутаною авторизацією”, хакер може створити фальшивий екран блокування, який фактично дозволяє здійснювати грошові перекази у фоновому режимі після того, як відбиток пальця буде прийнятий. У звіті не вказано, чи є сучасні телефони вразливими до такого типу атак.

Отримання відбитків пальців може бути дуже серйозною проблемою, оскільки вони використовуються не тільки для розблокування пристрою, але й для здійснення мобільних платежів та банківських операцій. Відбитки пальців також прив’язані до вас особисто і, очевидно, не можуть бути змінені або замінені.

Не зрозуміло, наскільки потрібно панікувати з цього приводу. Вей і Чжан продемонстрували атаку шпигунства за допомогою датчика відбитків пальців на старих Samsung Galaxy S5 і HTC One Max, але не згадали, чи є така ж вразливість у більш нових Galaxy S6 або Galaxy S6 Edge. Крім того, у звіті зазначено, що і Samsung, і HTC випустили патчі після того, як були повідомлені про вразливість.

Тепер, якщо ви користуєтеся iPhone, ви будете раді дізнатися, що Apple краще шифрує дані відбитків пальців зі сканера. Хороша новина полягає в тому, що Google впроваджує підтримку безпеки відбитків пальців в Android M, тому, ймовірно, вона буде більш безпечною на всіх телефонах Android, що рухаються вперед. Говорячи про це, Вей і Чжан рекомендують споживачам завжди купувати найновіші телефони з найновішим програмним забезпеченням для кращого захисту.

Рекомендації редакції

• Samsung Galaxy S23: дата виходу, характеристики, ціна, чутки та новини
• Як iPhone 14 Plus став одним з найбільших технологічних провалів 2022 року
• Щойно придбали новий iPhone? Ось 12 порад і рекомендацій, як його освоїти
• У 2023 році Apple повинна виправити свій ганебний ліміт в 5 ГБ iCloud
• Найдешевший безлімітний 5G-план Verizon тільки що став ще дешевше

Source: digitaltrends.com