Une faille Android permet aux pirates de voler nos données d'empreintes digitales
Une société de recherche en sécurité a découvert une faille dans Android qui permet aux pirates de voler des copies de nos empreintes digitales du Galaxy S5, et éventuellement d'autres appareils. Samsung a déclaré qu'il enquêtait déjà sur le problème, ce qui sera démontré lors de la conférence sur la sécurité RSA cette semaine.
Yulong Zhang et Tao Wei de FireEye ont découvert un moyen de récupérer les données d'identification de la "zone de confiance" dans laquelle elles sont stockées et sécurisées sur le Galaxy S5 de l'année dernière. Leur méthode promet de fonctionner sur tous les appareils exécutant Android 5.0 Lollipop et inférieur.
Ce qui est le plus préoccupant, c'est que les attaquants n'ont pas besoin de pénétrer dans cette zone de confiance pour collecter des données d'empreintes digitales; ils ont simplement besoin de l'intercepter lorsqu'il est envoyé par le lecteur d'empreintes digitales. Cela peut être fait en utilisant une application malveillante installée sur un appareil avec un accès root.
“Si l'attaquant peut casser le noyau [le noyau du système d'exploitation Android], bien qu'il ne puisse pas accéder au données d'empreintes digitales stockées dans la zone de confiance, il peut lire directement le capteur d'empreintes digitales à tout moment », a déclaré Zhang Raconté Forbes.
"Chaque fois que vous touchez le capteur d'empreintes digitales, l'attaquant peut voler votre empreinte digitale", a déclaré Zhang Forbes. « Vous pouvez obtenir les données et à partir des données, vous pouvez générer l'image de votre empreinte digitale. Après, tu peux faire ce que tu veux. »
FireEye a déjà été en contact avec Samsung à ce sujet, et la société sud-coréenne a déclaré qu'elle enquêtait et prenait la sécurité "très au sérieux".
Mais Samsung ne sera pas la seule entreprise touchée par cela s'il s'agit d'un problème Android plus large. Des fabricants comme HTC, Huawei et Motorola ont tous sorti des appareils avec des scanners d'empreintes digitales intégrés qui sont considérés comme tout aussi vulnérables.
Tant que les pirates ne peuvent pas accéder à la zone de confiance, vos données d'empreintes digitales doivent être en sécurité si vous ne rootez pas votre appareil; sans accès root, les applications malveillantes potentielles ne peuvent pas accéder aux données du scanner d'empreintes digitales.
Si vous utilisez root, assurez-vous simplement de n'installer que des applications provenant de sources fiables.
FireEye présentera ses conclusions demain, 24 avril, lors de la conférence sur la sécurité RSA à San Francisco.