С Android-смартфонов можно украсть отпечатки

отпечаткиИсследователи из компании FireEye, ранее обнаружившие способ похитить отпечатки пальцев с Android-смартфонов, оснащенных дактилоскопическими датчиками, презентовали полную версию доклада на конференции Black Hat в Лас-Вегасе. Наличие подобной уязвимости — плохая новость для отрасли: ожидается, что в 2019 году уже половина смартфонов будет оснащена дактилоскопическими датчиками.

Проанализировав работу смартфона HTC One Max, эксперты нашли зияющую дыру в безопасности: отпечатки пальцев, получаемые с дактилоскопа, хранятся в виде изображения (dbgraw.bmp) в совершенно незащищенной от стороннего доступа папке.

«Прочитав этот файл, любое приложение, даже не имеющее необходимых привилегий, может похитить дактилоскопические данные, а завладевший ими злоумышленник — подделать отпечатки, основываясь на полученных изображениях», — утверждают исследователи.

Это всего лишь один из четырех сценариев, доступных для компрометации данных биометрической защиты смартфонов на Android, которые обычно хранятся в особой безопасной зоне ОС Android — Trusted Zone. Результаты исследования FireEye доказывают, что многие производители все еще пренебрегают защитой биометрических данных, которые должны храниться в защищенной зоне.

Например, злоумышленник может применить тактику, напоминающую знакомый всем фишинг: на экране может появиться поддельный экран блокировки, который пользователю предполагается «разблокировать», приложив палец к контактной площадке.

«Кроме того, каждый раз после использования дактилоскопа фреймворк системы авторизации обновляет растр отпечатка, чтобы сохранить последний отсканированный отпечаток, то есть злоумышленник, получивший доступ к файлу, может незаметно собирать все изображения отпечатков владельца», — говорится в статье.

В особой зоне риска находятся «рутированные» Android-устройства. Хакеры, вооруженные эксплойтами, открывающими возможность удаленного исполнения кода, могут собирать отпечатки в массовом порядке до того, как они попадают в Trusted Zone.

Есть и более экзотичные сценарии атаки: например, при возможности физического доступа к целевому устройству злоумышленник может загрузить собственное изображение отпечатка, но успех такой атаки маловероятен.

Пользователям Android-смартфонов с системами аутентификации на основе отпечатка пальца следует обновиться до последней официальной версии ROM, но, учитывая, что операторы и производители обычно не спешат выкатывать свежие патчи, придется и подумать об альтернативах — например, о сборках CyanogenMod.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Имя
E-mail

 

Комментарии к записи С Android-смартфонов можно украсть отпечатки