טביעת האצבע שלך ייחודית לך.
טביעת אצבע סורק עבור אבטחה הוסיף על הטלפון החכם שלך הגיוני, נכון?
למרבה הצער, נראה כי אבטחה הוסיף יכול להיות יותר של אחריות. החוקרים טוענים כי פגם שנמצא במכשירי אנדרואיד מסוימים עלול לאפשר להאקרים לשכפל את אימות טביעת האצבע שלך ולהשתמש בה עבור התקפות סייבר נוספות וגניבה פוטנציאלית.
טאו ווי ו יולונג ג'אנג מחברת האבטחה FireEye טוענים שהם מצאו כישלונות בביטחון אימות טביעת אצבע עבור Samsung Galaxy S5 ומכשירים אחרים של אנדרואיד. הצמד הציג לאחרונה (PDF) את הממצאים שלהם בכנס RSA.
$config[code] not foundבעיקרו של דבר, הבעיה נשברת על כך:
- המידע על טלפונים חכמים אלה מפוצל ומוצפן באזורים מאובטחים נפרדים.
- הפגם הוא שתוקפים יכולים לתפוס את פרטי טביעת האצבע שלך לפני שהיא מגיעה לאזור המוגן, או TrustZone כמו ווי וג'אנג קוראים לה.
- משם, נתונים טביעת אצבע ניתן להעתיק ומאוחסנים.
משמעות הדבר היא כי התוקפים לא צריך לנסות לפרוץ לתוך TrustZone. במקום זאת, המידע נגנב מזיכרון או מחסן. התוקפים פשוט צריכים לנהל גישה ברמת המשתמש וטביעת האצבע שלך היא שלהם. נראה שהבעיה חמורה עוד יותר ב- Galaxy S5, שבו תוכנה זדונית דורשת גישה ברמת המערכת בלבד.
ג'אנג אמר לפורבס:
"אם התוקף יכול לשבור את הליבה הליבה של מערכת ההפעלה אנדרואיד, למרות שהוא אינו יכול לגשת לנתוני טביעת אצבע המאוחסנים באזור מהימן, הוא יכול לקרוא ישירות את חיישן טביעות האצבע בכל עת. בכל פעם שאתה נוגע חיישן טביעת אצבע, התוקף יכול לגנוב את טביעת האצבע שלך … אתה יכול לקבל את הנתונים ואת הנתונים ניתן ליצור את התמונה של טביעת האצבע שלך. אחרי זה אתה יכול לעשות מה שאתה רוצה. "
נראה כי בעיה זו קיימת רק במכשירים שבהם פועלות מערכות הפעלה מעל Android 5.0 Lollipop. ווי וג'אנג מציעים לכל משתמש בגרסה ישנה יותר לעדכן את המכשירים שלהם, אם אפשר.
דובר של סמסונג אמר לפורבס בדוא"ל:
"סמסונג מתייחסת ברצינות רבה לפרטיות הצרכנים ולאבטחת הנתונים. אנו חוקרים כעת את טענותיו של FireEye ".
ווי וג 'אנג אמרו שהם לא נבדקו כל התקנים אחרים אבל הם משערים את הבעיה עשויה להיות נפוצה. הם מציעים לנקוט אמצעי זהירות כדי להגן על המידע שלך. שמור על עדכניות המכשיר שלך, התקן אפליקציות ממקורות פופולריים ואמינים בלבד, ודבק עם ספקי מכשירים ניידים עם תיקונים ושדרוגים בזמן. הם הציעו גם שמשתמשים ארגוניים ירצו לחפש שירותים מקצועיים כדי לקבל הגנה מפני התקפות מטרה מתקדמות.
טביעות אצבע תמונה דרך Shutterstock
תגובה ▼
