×
Устройства HTC не шифруют данные об отпечатках пальцев

Банки данных отпечатков пальцев на Android – это скорее «проходной двор», чем «неприступная крепость»

 

Представители исследовательской группы FireEye смогли получить доступ к данным биометрических сенсоров на таких устройствах, как Samsung Galaxy S5 и HTC One Max.

 

Согласно заявлению группы, критическую уязвимость содержит HTC One Max, где данные биометрии хранятся в виде обычного графического файла (dbgraw.bmp) в ничем не защищенной директории.

 

Любое неавторизованное приложение или процесс могут похитить хранящуюся в этом файле информацию и воссоздать реальный отпечаток пальца.

 

Это один из четырех сценариев уязвимости, когда биометрические данные, которые должны храниться в защищенной зоне любого телефона на Android, могут быть легко похищены.

 

При помощи этой уязвимости злоумышленники могут перевести средства, предъявив владельцу телефона поддельный экран блокировки для использования отпечатка пальца.

 

Представители группы заявили, что большинство производителей устройств на основе Android пренебрегают использованием защищенной области для хранения биометрических данных.

 

И что еще хуже – каждый раз, когда пользователь использует биометрический сенсор, приложение для авторизации обновляет и сохраняет в базе последний отпечаток. Таким образом, злоумышленник может запустить фоновый процесс и получать информацию обо всех использованных отпечатках на зараженном устройстве.

 

Более того, права доступа к ядру системы часто ограничиваются только корневой частью, а не всей системой, а это означает, что устройства с модифицированной OS находятся даже в большей опасности.

 

Главное, на что обращают внимание исследователи, – к 2019 году примерно половина всех смартфонов будет оснащена биометрическими сканерами. И если не совершенствовать систему безопасности, последствия могут быть более чем серьезными, учитывая, что даже в наши дни все большее количество операций подтверждаются данными со сканеров отпечатков пальцев.

 

Перевод: Дмитрий Захаров

 

Оригинал фото: Talkandroid