Android दोष से हैकर्स हमारा फ़िंगरप्रिंट डेटा चुरा सकते हैं
एक सुरक्षा अनुसंधान फर्म ने एंड्रॉइड में एक दोष का खुलासा किया है जो हैकर्स को गैलेक्सी एस 5 और संभवतः अन्य उपकरणों से हमारी उंगलियों के निशान की प्रतियां चोरी करने की अनुमति देता है। सैमसंग का कहना है कि वह पहले से ही इस मुद्दे की जांच कर रहा है, जिसे इस सप्ताह आरएसए सुरक्षा सम्मेलन में प्रदर्शित किया जाएगा।
FireEye के यूलोंग झांग और ताओ वेई ने "विश्वसनीय क्षेत्र" से पहचान डेटा को पुनः प्राप्त करने का एक तरीका खोजा है जिसमें वे पिछले साल के गैलेक्सी S5 पर संग्रहीत और सुरक्षित हैं। उनका तरीका एंड्रॉइड 5.0 लॉलीपॉप और उससे नीचे के सभी उपकरणों पर काम करने का वादा करता है।
सबसे अधिक चिंता की बात यह है कि फिंगरप्रिंट डेटा एकत्र करने के लिए हमलावरों को उस विश्वसनीय क्षेत्र में सेंध लगाने की आवश्यकता नहीं है; उन्हें बस इसे इंटरसेप्ट करने की जरूरत है क्योंकि यह फिंगरप्रिंट स्कैनर से भेजा जाता है। यह रूट एक्सेस वाले डिवाइस पर इंस्टॉल किए गए दुर्भावनापूर्ण एप्लिकेशन का उपयोग करके किया जा सकता है।
“यदि हमलावर कर्नेल [एंड्रॉइड ऑपरेटिंग सिस्टम के मूल] को तोड़ सकता है, हालांकि वह एक्सेस नहीं कर सकता विश्वसनीय क्षेत्र में संग्रहीत फ़िंगरप्रिंट डेटा, वह किसी भी समय फ़िंगरप्रिंट सेंसर को सीधे पढ़ सकता है," झांग बताया था फोर्ब्स।
"हर बार जब आप फ़िंगरप्रिंट सेंसर को छूते हैं, तो हमलावर आपका फ़िंगरप्रिंट चुरा सकता है," झांग ने बताया फोर्ब्स। "आप डेटा प्राप्त कर सकते हैं और डेटा से आप अपने फिंगरप्रिंट की छवि उत्पन्न कर सकते हैं। उसके बाद आप जो चाहें कर सकते हैं।"
FireEye पहले से ही इस मुद्दे के संबंध में सैमसंग के संपर्क में है, और दक्षिण कोरियाई कंपनी का कहना है कि वह जांच कर रही है और सुरक्षा को "बहुत गंभीरता से" लेती है।
लेकिन अगर यह व्यापक Android समस्या है तो सैमसंग इससे प्रभावित होने वाली एकमात्र कंपनी नहीं होगी। एचटीसी, हुआवेई और मोटोरोला जैसे निर्माताओं ने बिल्ट-इन फिंगरप्रिंट स्कैनर वाले सभी डिवाइस जारी किए हैं जिन्हें उतना ही कमजोर माना जाता है।
जब तक हैकर्स विश्वसनीय क्षेत्र तक पहुंच प्राप्त नहीं कर सकते, हालांकि, यदि आप अपने डिवाइस को रूट नहीं करते हैं तो आपका फिंगरप्रिंट डेटा सुरक्षित होना चाहिए; रूट एक्सेस के बिना, संभावित दुर्भावनापूर्ण ऐप्स फ़िंगरप्रिंट स्कैनर से डेटा तक नहीं पहुंच सकते हैं।
यदि आप रूट करते हैं, तो सुनिश्चित करें कि आप केवल विश्वसनीय स्रोतों से ऐप्स इंस्टॉल करते हैं।
FireEye कल 24 अप्रैल को सैन फ्रांसिस्को में RSA सुरक्षा सम्मेलन में अपने निष्कर्ष प्रस्तुत करेगा।