Az ujjlenyomat egyedülálló.
Az ujjlenyomat-szkenner az okostelefonon nagyobb biztonságot nyújt, igaz?
Sajnos úgy tűnik, hogy a hozzáadott biztonság több felelősség. A kutatók azt állítják, hogy bizonyos Android-eszközökben talált hibák miatt a hackerek az ujjlenyomat-hitelesítést klónozhatják, és további kibernetikus támadásokra és potenciális lopásokra használhatják.
Tao Wei és Yulong Zhang a FireEye biztonsági cégtől azt állítják, hogy hibát találtak a Samsung Galaxy S5 és más Android készülékek ujjlenyomat-hitelesítésének biztonságában. A duó nemrég ismertette (PDF) megállapításait az RSA konferencián.
$config[code] not foundLényegében ez a probléma az alábbiakra bontja:
- Ezekről az okostelefonokról szóló információk külön biztonsági zónákban vannak szegmentálva és titkosítva.
- A hiba az, hogy a támadók megragadhatják az ujjlenyomatadatait, mielőtt elérné a védett zónát, vagy a TrustZone, ahogy Wei és Zhang nevezik.
- Innen az ujjlenyomatadatok másolhatók és tárolhatók.
Ez azt jelenti, hogy a támadóknak nem kell próbálkozniuk a TrustZone-ba. Ehelyett az információt a memóriaből vagy a tárolóból ellopják. A támadóknak csak a felhasználói szintű hozzáférést kell kezelniük, és az ujjlenyomatuk a saját. A probléma még rosszabb a Galaxy S5-nél, ahol a rosszindulatú programok csak rendszer szintű hozzáférést igényelnek.
Zhang elmondta Forbesnek:
„Ha a támadó megtörheti a rendszermagot az Android operációs rendszer magját, bár nem férhet hozzá a megbízható zónában tárolt ujjlenyomatadatokhoz, bármikor közvetlenül olvashatja az ujjlenyomat-érzékelőt. Minden alkalommal, amikor megérinti az ujjlenyomat-érzékelőt, a támadó ellophatja az ujjlenyomatát… Az adatokat és az adatokat az ujjlenyomatának képét generálhatja. Ezután meg tudod csinálni, amit akarsz.
Ez a probléma csak az Android 5.0 Lollipop-nál régebbi operációs rendszereket futtató eszközökön jelenik meg. Wei és Zhang azt sugallják, hogy a régebbi verzióknak lehetőség szerint frissíteniük kell az eszközöket.
A Samsung szóvivője e-mailben tájékoztatta a Forbes-t:
„A Samsung nagyon komolyan veszi a fogyasztók adatvédelmi és adatbiztonságát. Jelenleg a FireEye követeléseit vizsgáljuk. ”
Wei és Zhang azt mondta, hogy nem teszteltek más eszközöket, de spekulálják, hogy a probléma széles körben elterjedt. Azt javasolják, hogy óvintézkedéseket tegyenek az információ védelmére. Tartsa frissítve a készüléket, csak népszerű és megbízható forrásokból telepítse az alkalmazásokat, és a mobilkészülék-gyártókhoz ragaszkodjon az időben történő javításokhoz és frissítésekhez. Azt is javasolják, hogy a vállalati felhasználók esetleg professzionális szolgáltatásokat keressenek a fejlett cél támadások elleni védelem érdekében.
Ujjlenyomatok fénykép a Shutterstock-on keresztül
Megjegyzés ▼
