ข้อบกพร่องของ Android ทำให้แฮกเกอร์ขโมยข้อมูลลายนิ้วมือของเราได้
บริษัทวิจัยด้านความปลอดภัยได้ค้นพบข้อบกพร่องใน Android ที่ทำให้แฮกเกอร์สามารถขโมยสำเนาลายนิ้วมือของเราจาก Galaxy S5 และอุปกรณ์อื่นๆ ได้ ซัมซุงกล่าวว่าขณะนี้กำลังตรวจสอบปัญหาดังกล่าว ซึ่งจะมีการสาธิตในการประชุมด้านความปลอดภัย RSA ในสัปดาห์นี้
Yulong Zhang และ Tao Wei จาก FireEye ได้ค้นพบวิธีการดึงข้อมูลระบุตัวตนจาก “โซนที่เชื่อถือได้” ซึ่งพวกเขาถูกจัดเก็บและรักษาความปลอดภัยบน Galaxy S5 ของปีที่แล้ว วิธีการของพวกเขาสัญญาว่าจะทำงานบนอุปกรณ์ทั้งหมดที่ใช้ Android 5.0 Lollipop และต่ำกว่า
สิ่งที่สำคัญที่สุดคือการที่ผู้โจมตีไม่จำเป็นต้องเจาะเข้าไปในโซนที่เชื่อถือได้นั้นเพื่อรวบรวมข้อมูลลายนิ้วมือ พวกเขาเพียงแค่ต้องสกัดกั้นมันเมื่อส่งจากเครื่องสแกนลายนิ้วมือ ที่สามารถทำได้โดยใช้แอปพลิเคชันที่เป็นอันตรายที่ติดตั้งบนอุปกรณ์ที่มีการเข้าถึงรูท
“หากผู้โจมตีสามารถทำลายเคอร์เนล [แกนหลักของระบบปฏิบัติการ Android] แม้ว่าเขาจะเข้าถึงไม่ได้ ข้อมูลลายนิ้วมือที่เก็บไว้ในโซนที่เชื่อถือได้ เขาสามารถอ่านเซ็นเซอร์ลายนิ้วมือได้โดยตรงเมื่อใดก็ได้” Zhang บอก ฟอร์บส์.
“ทุกครั้งที่คุณสัมผัสเซ็นเซอร์ลายนิ้วมือ ผู้โจมตีสามารถขโมยลายนิ้วมือของคุณได้” Zhang กล่าว ฟอร์บส์. “คุณสามารถรับข้อมูลและจากข้อมูลที่คุณสามารถสร้างภาพลายนิ้วมือของคุณได้ หลังจากนั้นคุณสามารถทำอะไรก็ได้ที่คุณต้องการ”
FireEye ได้ติดต่อกับ Samsung เกี่ยวกับปัญหานี้แล้ว และบริษัทเกาหลีใต้กล่าวว่ากำลังตรวจสอบและให้ความสำคัญกับความปลอดภัย "อย่างจริงจัง"
แต่ Samsung จะไม่ใช่บริษัทเดียวที่ได้รับผลกระทบจากสิ่งนี้ หากเป็นปัญหา Android ที่กว้างขึ้น ผู้ผลิตเช่น HTC, Huawei และ Motorola ได้เปิดตัวอุปกรณ์ทั้งหมดที่มีเครื่องสแกนลายนิ้วมือในตัวซึ่งคิดว่ามีความเสี่ยงเช่นเดียวกัน
ตราบใดที่แฮกเกอร์ไม่สามารถเข้าถึงโซนที่เชื่อถือได้ อย่างไรก็ตาม ข้อมูลลายนิ้วมือของคุณควรปลอดภัยถ้าคุณไม่รูทอุปกรณ์ของคุณ หากไม่มีการเข้าถึงรูท แอพที่อาจเป็นอันตรายจะไม่สามารถเข้าถึงข้อมูลจากเครื่องสแกนลายนิ้วมือได้
หากคุณทำการรูท ตรวจสอบให้แน่ใจว่าคุณติดตั้งแอพจากแหล่งที่เชื่อถือได้เท่านั้น
FireEye จะนำเสนอผลการวิจัยในวันพรุ่งนี้ 24 เมษายน ที่การประชุมด้านความปลอดภัย RSA ในซานฟรานซิสโก