Lassan ott tartunk, hogy minden hétre jut valami komoly mobilbiztonsági ügy, ami miatt veszélyben lehetnek a személyes adataink. Elsőként a StageFright borzolta a kedélyeket, utána az úgynevezett Certifi-gate következett, most pedig egy gyártó, a HTC miatt irányulhat ismét nagyobb figyelem a biometrikus azonosításban rejlő veszélyekre.
Itt van, vigyétek!
Az eddigi, rendszerszintű biztonsági hibákkal ellentétben most egy konkrét gyártó egy bizonyos telefonjáról van szó. A FireEye kutató felfedezték, hogy a HTC One max a felhasználó ujjlenyomatát minden különösebb (értsd: semmilyen) védelem nélkül, egy képfájlban tárolja, ami (akár távolról is) minden probléma nélkül kiolvasható, ami így egy sor visszaélésre ad lehetőséget.
A biztonsági cég munkatársai a jelenleg is zajló, Las Vegas-i Black Hat konferencián számoltak be a HTC hanyagságáról. A mobil az ujjlenyomatról készült fájlt a /data/dbgraw.bmp útvonalon tárolja úgy, hogy ahhoz a rendszer, illetve bármelyik app speciális engedély nélkül hozzáférhet. A szakemberek azt is közölték, hogy az ujjlenyomatokban található apróbb hibákat is észlelték, azaz egy tökéletesen részletes, kinyerhető adatról van szó.
A HTC One max ujjlenyomat szenzora: hanyag kezelés
És lehet még ennél is rosszabb. A FireEye azt is felfedezte, hogy az előbb említett fájl nem az első alkalommal beszkennelt lenyomatot tárolja, hanem minden azonosítás után frissíti magát. Vagyis folyamatosan egy friss adatbázist hoz létre a felhasználó éppen aktuális biometrikus azonosítójáról. De mielőtt a HTC-t teljes mértékben eltemetnénk ez ügyben, a kutatók arra is felhívták a figyelmet, hogy az ujjlenyomatok mobilon való tárolása a többi gyártónál sem problémamentes, mivel az erre rendszeresített megoldások (TrustZone, Secure Enclave) is számos sebezhetőségi ponttal rendelkeznek.
Nagy a kockázat
A jelenség azért is nyugtalanító, mert a gyártók egyre nagyobb számban alkalmaznak ujjlenyomat-olvasó szenzorokat a mobiloknál, sőt, a Google legutóbb bejelentette, hogy az Android rendszerszinten is támogatni fogja ezt a fajta azonosítást, amire a hamarosan érkező Android Pay is épülni fog. A kockázat pedig jóval nagyobb, mint a jelszavaknál, hiszen míg azok megváltoztathatók, addig az ujjlenyomat nem, sőt, ezért az utóbbi megszerzése egy állandó fenyegetést jelent a „tulajdonosának”.
Az aktuális ügy kapcsán a HTC szóvivője annyit közölt, hogy ismerik a FireEye jelentését, tudnak a problémáról, dolgoznak is rajta, és kizárólag a HTC One max modell érintett, az összes többi típus mentes ettől a hibától.
Exkluzív szakmai nap a felhők fölött: KYOCERA Roadshow a MOL Toronyban
A jövő irodája már nem a jövő – hanem a jelen. A digitális transzformáció új korszakába lépünk, és ebben a KYOCERA nemcsak követi, hanem formálja is az irányt. Most itt a lehetőség, hogy első kézből ismerje meg a legújabb hardveres és szoftveres fejlesztéseket, amelyekkel a KYOCERA új szintre emeli a dokumentumkezelést és az üzleti hatékonyságot.
a melléklet támogatója a One Solutions
CIO KUTATÁS
AZ IRÁNYÍTÁS VISSZASZERZÉSE
Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?
Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!
Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak