Недостатъкът на Android позволява на хакерите да откраднат данните ни за пръстови отпечатъци
Фирма за изследване на сигурността е открила недостатък в Android, който позволява на хакерите да откраднат копия на нашите пръстови отпечатъци от Galaxy S5 и евентуално други устройства. Samsung казва, че вече проучва проблема, който ще бъде демонстриран на конференцията за сигурност на RSA тази седмица.
Yulong Zhang и Tao Wei от FireEye са открили начин за извличане на идентификационни данни от „доверената зона“, в която се съхраняват и обезопасяват на миналогодишния Galaxy S5. Техният метод обещава да работи на всички устройства с Android 5.0 Lollipop и по -стари версии.
Най -притеснителното е, че нападателите не трябва да проникват в тази надеждна зона, за да събират данни за пръстови отпечатъци; те просто трябва да го прихванат, докато се изпраща от скенера за пръстови отпечатъци. Това може да стане с помощта на злонамерено приложение, инсталирано на устройство с root достъп.
“Ако нападателят може да разбие ядрото (ядрото на операционната система Android), въпреки че няма достъп до данни за пръстови отпечатъци, съхранявани в надеждната зона, той може директно да прочете сензора за пръстови отпечатъци по всяко време “, Джанг казано Forbes.
„Всеки път, когато докоснете сензора за пръстови отпечатъци, нападателят може да открадне вашия пръстов отпечатък“, каза Джан за Forbes. „Можете да получите данните и от тях можете да генерирате изображението на вашия пръстов отпечатък. След това можете да правите каквото пожелаете. "
FireEye вече е контактувал със Samsung по въпроса, а южнокорейската компания казва, че разследва и приема сигурността „много сериозно“.
Но Samsung няма да бъде единствената компания, засегната от това, ако това е по -широк проблем с Android. Производители като HTC, Huawei и Motorola са пуснали всички устройства с вградени скенери за пръстови отпечатъци, за които се смята, че са също толкова уязвими.
Докато хакерите не могат да получат достъп до доверената зона, данните ви за пръстови отпечатъци трябва да са в безопасност, ако не изкорените устройството си; без root достъп потенциалните злонамерени приложения не могат да имат достъп до данни от скенера за пръстови отпечатъци.
Ако правите root, не забравяйте да инсталирате приложения само от надеждни източници.
FireEye ще представи своите открития утре, 24 април, на конференцията по сигурността на RSA в Сан Франциско.