Χρησιμοποιείτε συσκευή HTC; Ερευνητές της εταιρείας ασφαλείας FireEye ανακάλυψαν ένα τρόπο κλοπής δακτυλικών αποτυπωμάτων από συσκευές Android που έχουν βιομετρικούς αισθητήρες, όπως το Samsung Galaxy S5 και το HTC One Max.
Η ομάδα όμως βρέθηκε μπροστά από μια μεγάλη έκπληξη όταν ανακάλυψε ότι τα δακτυλικά αποτυπώματα που αποθηκεύονται στο HTC One Max υπάρχουν σαν αρχεία εικόνας (dbgraw.bmp) σε έναν ανοιχτό φάκελο για όλο τον κόσμο, και χωρίς καμία κρυπτογράφηση.
“Τυχόν μη προνομιούχες διαδικασίες ή εφαρμογές μπορούν να υποκλέψουν τα δακτυλικά αποτυπώματα του χρήστη με την ανάγνωση αυτού του αρχείου,” αναφέρει η ομάδα λέει, προσθέτοντας ότι οι εικόνες μπορούν να εκτυπωθούν άνετα.
Οι Yulong Zhang, Zhaofeng Chen, Hui Xue και Tao Wei παρουσίασαν την έρευνα τους Fingerprints On Mobile Devices: Abusing and Leaking [PDF] στο συνέδριο Black Hat που πραγματοποιήθηκε στο Λας Βέγκας την περασμένη εβδομάδα.
Οι περισσότεροι κατασκευαστές συσκευών όπως αναφέρουν οι ερευνητές αδυνατούν να χρησιμοποιήσουν την προστασία του Android Trust Zone για την προστασία των βιομετρικών δεδομένων .
“Για να γίνει η κατάσταση ακόμη χειρότερη, κάθε φορά που ο αισθητήρας δακτυλικών αποτυπωμάτων χρησιμοποιείται για auth operation, το auth framework ανανεώνει το bitmap των δακτυλικών αποτυπωμάτων,” αναφέρει η ομάδα.
“Έτσι, ο εισβολέας μπορεί να καθίσει στο παρασκήνιο και να συλλέγει όλες τις εικόνες των δακτυλικών αποτυπωμάτων του θύματος.”
Η ομάδα πρόσθεσε επίσης ότι οι επιτιθέμενοι με κάποια απομακρυσμένη εκτέλεση κώδικα θα μπορούσαν να συλλέξουν μαζικά αυτά τα δακτυλικά αποτυπώματα, αφού δεν χρειάζονται καν δικαιώματα root.