Το ελάττωμα του Android επιτρέπει στους χάκερ να κλέψουν τα δεδομένα δακτυλικών αποτυπωμάτων μας
Μια ερευνητική εταιρεία ασφάλειας αποκάλυψε ένα ελάττωμα στο Android που επιτρέπει στους χάκερ να κλέψουν αντίγραφα των δακτυλικών μας αποτυπωμάτων από το Galaxy S5, και πιθανώς άλλες συσκευές. Η Samsung λέει ότι ερευνά ήδη το ζήτημα, το οποίο θα παρουσιαστεί στη διάσκεψη ασφαλείας RSA αυτήν την εβδομάδα.
Οι Yulong Zhang και Tao Wei από το FireEye ανακάλυψαν έναν τρόπο ανάκτησης δεδομένων ταυτοποίησης από την «αξιόπιστη ζώνη» στην οποία αποθηκεύονται και ασφαλίζονται στο περσινό Galaxy S5. Η μέθοδος τους υπόσχεται να λειτουργήσει σε όλες τις συσκευές με Android 5.0 Lollipop και νεότερες εκδόσεις.
Το πιο ανησυχητικό είναι ότι οι επιτιθέμενοι δεν χρειάζεται να διεισδύσουν σε αυτήν την αξιόπιστη ζώνη για να συλλέξουν δεδομένα δακτυλικών αποτυπωμάτων. πρέπει απλώς να το υποκλέψουν καθώς αποστέλλεται από το σαρωτή δακτυλικών αποτυπωμάτων. Αυτό μπορεί να γίνει χρησιμοποιώντας μια κακόβουλη εφαρμογή εγκατεστημένη σε μια συσκευή με πρόσβαση root.
“Εάν ο εισβολέας μπορεί να σπάσει τον πυρήνα [τον πυρήνα του λειτουργικού συστήματος Android], αν και δεν μπορεί να έχει πρόσβαση στον δεδομένα δακτυλικών αποτυπωμάτων αποθηκευμένα στην αξιόπιστη ζώνη, μπορεί ανά πάσα στιγμή να διαβάσει απευθείας τον αισθητήρα δακτυλικών αποτυπωμάτων », δήλωσε ο Zhang. είπε Forbes.
"Κάθε φορά που αγγίζετε τον αισθητήρα δακτυλικών αποτυπωμάτων, ο εισβολέας μπορεί να κλέψει το δακτυλικό σας αποτύπωμα", είπε ο Zhang Forbes. «Μπορείτε να λάβετε τα δεδομένα και από τα δεδομένα μπορείτε να δημιουργήσετε την εικόνα του δακτυλικού σας αποτυπώματος. Μετά από αυτό, μπορείτε να κάνετε ό, τι θέλετε ».
Το FireEye έχει ήδη έρθει σε επαφή με τη Samsung σχετικά με το ζήτημα και η νοτιοκορεατική εταιρεία λέει ότι ερευνά και παίρνει την ασφάλεια «πολύ σοβαρά».
Αλλά η Samsung δεν θα είναι η μόνη εταιρεία που επηρεάζεται από αυτό εάν πρόκειται για ένα ευρύτερο ζήτημα Android. Κατασκευαστές όπως η HTC, η Huawei και η Motorola έχουν κυκλοφορήσει όλες τις συσκευές με ενσωματωμένους σαρωτές δακτυλικών αποτυπωμάτων που θεωρούνται εξίσου ευάλωτοι.
Όσο οι χάκερ δεν μπορούν να αποκτήσουν πρόσβαση στην αξιόπιστη ζώνη, ωστόσο, τα δεδομένα δακτυλικών αποτυπωμάτων σας θα πρέπει να είναι ασφαλή εάν δεν κάνετε root τη συσκευή σας. χωρίς πρόσβαση root, πιθανές κακόβουλες εφαρμογές δεν μπορούν να έχουν πρόσβαση στα δεδομένα από το σαρωτή δακτυλικών αποτυπωμάτων.
Εάν κάνετε root, βεβαιωθείτε ότι έχετε εγκαταστήσει εφαρμογές μόνο από αξιόπιστες πηγές.
Η FireEye θα παρουσιάσει τα ευρήματά της αύριο, 24 Απριλίου, στο συνέδριο ασφαλείας RSA στο Σαν Φρανσίσκο.