Συσκευή HTC αποθηκεύει δακτυλικά αποτυπώματα χωρίς κρυπτογράφηση

Χρησιμοποιείτε συσκευή HTC; Ερευνητές της εταιρείας ασφαλείας FireEye ανακάλυψαν ένα τρόπο κλοπής δακτυλικών αποτυπωμάτων από συσκευές Android που έχουν βιομετρικούς αισθητήρες, όπως το Samsung Galaxy S5 και το HTC One Max.HTC

Η ομάδα όμως βρέθηκε μπροστά από μια μεγάλη έκπληξη όταν ανακάλυψε ότι τα δακτυλικά αποτυπώματα που αποθηκεύονται στο HTC One Max υπάρχουν σαν αρχεία εικόνας (dbgraw.bmp) σε έναν ανοιχτό φάκελο για όλο τον κόσμο, και χωρίς καμία κρυπτογράφηση.

“Τυχόν μη προνομιούχες διαδικασίες ή εφαρμογές μπορούν να υποκλέψουν τα δακτυλικά αποτυπώματα του χρήστη με την ανάγνωση αυτού του αρχείου,” αναφέρει η ομάδα λέει, προσθέτοντας ότι οι εικόνες μπορούν να εκτυπωθούν άνετα.

Οι Yulong Zhang, Zhaofeng Chen, Hui Xue και Tao Wei παρουσίασαν την έρευνα τους Fingerprints On Mobile Devices: Abusing and Leaking [PDF] στο συνέδριο Black Hat που πραγματοποιήθηκε στο Λας Βέγκας την περασμένη εβδομάδα.

Οι περισσότεροι κατασκευαστές συσκευών όπως αναφέρουν οι ερευνητές αδυνατούν να χρησιμοποιήσουν την προστασία του Android Trust Zone για την προστασία των βιομετρικών δεδομένων .

“Για να γίνει η κατάσταση ακόμη χειρότερη, κάθε φορά που ο αισθητήρας δακτυλικών αποτυπωμάτων χρησιμοποιείται για auth operation, το auth framework ανανεώνει το bitmap των δακτυλικών αποτυπωμάτων,” αναφέρει η ομάδα.

“Έτσι, ο εισβολέας μπορεί να καθίσει στο παρασκήνιο και να συλλέγει όλες τις εικόνες των δακτυλικών αποτυπωμάτων του θύματος.”

Η ομάδα πρόσθεσε επίσης ότι οι επιτιθέμενοι με κάποια απομακρυσμένη εκτέλεση κώδικα θα μπορούσαν να συλλέξουν μαζικά αυτά τα δακτυλικά αποτυπώματα, αφού δεν χρειάζονται καν δικαιώματα root.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).