Vaš otisak prsta je jedinstven za vas.
Skener otiska prsta za dodatnu sigurnost na vašem pametnom telefonu ima smisla, zar ne?
Nažalost, čini se da dodatna sigurnost može biti više odgovornost. Istraživači tvrde da bi se u nekim uređajima s Androidom nedostatak mogao dopustiti hakerima da kloniraju vašu provjeru autentičnosti otiska prsta i upotrijebe ga za dodatne cyber napade i potencijalne krađe.
Tao Wei i Yulong Zhang iz sigurnosne tvrtke FireEye tvrde da su pronašli propuste u sigurnosti provjere autentičnosti otiska prsta za Samsung Galaxy S5 i druge Android uređaje. Duo je nedavno predstavio (PDF) svoje nalaze na konferenciji RSA.
$config[code] not foundU biti, problem se svodi na sljedeće:
- Informacije o tim pametnim telefonima se segmentiraju i šifriraju u odvojenim zaštićenim zonama.
- Greška je u tome što napadači mogu uhvatiti vaše informacije o otisku prsta prije nego što stigne do zaštićene zone, ili TrustZonea kako ga Wei i Zhang nazivaju.
- Odatle se podaci o otisku prsta mogu kopirati i pohraniti.
To znači da napadači ne moraju pokušati provaliti u TrustZone. Umjesto toga, informacije su ukradene iz memorije ili spremnika. Napadači jednostavno moraju upravljati pristupom na razini korisnika, a vaš otisak prsta je njihov. Čini se da je problem još gori na Galaxy S5, gdje je malwareu potreban samo pristup na razini sustava.
Zhang je rekao Forbesu:
“Ako napadač može slomiti kernel jezgru operativnog sustava Android, iako ne može pristupiti podacima o otiscima prstiju pohranjenim u pouzdanim zonama, može u bilo kojem trenutku izravno pročitati senzor otiska prsta. Svaki put kada dodirnete senzor otiska prsta, napadač vam može ukrasti otisak prsta … Možete dobiti podatke i iz podataka možete generirati sliku vašeg otiska prsta. Nakon toga možete raditi što god želite.
Čini se da je ovaj problem prisutan samo na uređajima s operativnim sustavima starijim od Android 5.0 Lollipop. Wei i Zhang predlažu da bi netko tko koristi stariju verziju trebao ažurirati svoje uređaje ako je moguće.
Glasnogovornik Samsunga rekao je za Forbes putem e-pošte:
“Samsung ozbiljno shvaća privatnost i sigurnost podataka o potrošačima. Trenutno istražujemo tvrdnje tvrtke FireEye. "
Wei i Zhang izjavili su da nisu testirali druge uređaje, ali spekuliraju da bi problem mogao biti raširen. Predlažu poduzimanje mjera opreza kako bi zaštitili svoje podatke. Ažurirajte svoj uređaj, instalirajte samo aplikacije iz popularnih i pouzdanih izvora i držite se dobavljača mobilnih uređaja uz pravovremene zakrpe i nadogradnje. Također su predložili da bi poslovni korisnici mogli tražiti profesionalne usluge kako bi dobili zaštitu od naprednih ciljnih napada.
Foto otisci prstiju putem Shutterstocka
Komentar ▼
