Тема: Хакеры рассказали о способах кражи отпечатков пальцев у владельцев устройств на Android
Показать сообщение отдельно

  #5  
Старый 10.08.2015, 23:54
equal
Познающий
Регистрация: 26.07.2015
Сообщений: 54
С нами: 5684726

Репутация: 2
По умолчанию
Цитата:
Сообщение от Volk_J  

Так какие именно?
Исследователи из компании FireEye, ранее обнаружившие способ похитить отпечатки пальцев с Android-смартфонов, оснащенных дактилоскопическими датчиками, презентовали полную версию доклада на конференции Black Hat в Лас-Вегасе. Наличие подобной уязвимости – плохая новость для отрасли: ожидается, что в 2019 году уже половина смартфонов будет оснащена дактилоскопическими датчиками.

Проанализировав работу смарфона HTC One Max, эксперты нашли зияющую дыру в безопасности: отпечатки пальцев, получаемые с дактилоскопа, хранятся в виде изображения (dbgraw.bmp) в совершенно незащищенной от стороннего доступа папке.

«Прочитав этот файл, любое приложение, даже не имеющее необходимых привилегий, может похитить дактилоскопические данные, а завладевший ими злоумышленник – подделать отпечатки, основываясь на полученных изображениях» — утверждают исследователи.

Это всего лишь один из четырех сценариев, доступных для компрометации данных биометической защиты смартфона на Android, которые обычно хранятся в особой безопасной зоне ОС Android – TrustedZone. Результаты исследования FireEye доказывают, что многие производители все еще пренебрегают защитой биометрических данных, которые должны храниться в защищенной зоне.

Например, злоумышленник может применить тактику, напоминающую знакомый всем фишинг: на экране может появиться поддельный экран блокировки, который пользователю предполагается «разблокировать», приложив палец к контактной площадке.

«Кроме того, каждый раз после использования дактилоскопа фреймворк системы авторизации обновляет растр отпечатка, чтобы сохранить последний отсканированный отпечаток – то есть, злоумышленник, получивший доступ к файлу, может незаметно собирать все изображения отпечатков владельца», — говорится в статье.

В особой зоне риска находятся «рутированные» Android-устройства. Хакеры, вооруженные эксплойтами, открывающими возможность удаленного исполнения кода, могут собирать отпечатки в массовом порядке до того, как они попадают в Trust Zone.

Есть и более экзотичные сценарии атаки – например, при возможности физического доступа к целевому устройству злоумышленник может загрузить собственное изображение отпечатка, но успех такой атаки маловероятен.

Пользователям Android-смартфонов с системами аутентификации на основе отпечатка пальца следует обновиться до последней официальной версии ROM, но, учитывая, что операторы и производители обычно не спешат выкатывать свежие патчи, придется и подумать об альтернативах – например, о сборках CyanogenMod.
 
Ответить с цитированием