Lassan ott tartunk, hogy minden hétre jut valami komoly mobilbiztonsági ügy, ami miatt veszélyben lehetnek a személyes adataink. Elsőként a StageFright borzolta a kedélyeket, utána az úgynevezett Certifi-gate következett, most pedig egy gyártó, a HTC miatt irányulhat ismét nagyobb figyelem a biometrikus azonosításban rejlő veszélyekre.
Itt van, vigyétek!
Az eddigi, rendszerszintű biztonsági hibákkal ellentétben most egy konkrét gyártó egy bizonyos telefonjáról van szó. A FireEye kutató felfedezték, hogy a HTC One max a felhasználó ujjlenyomatát minden különösebb (értsd: semmilyen) védelem nélkül, egy képfájlban tárolja, ami (akár távolról is) minden probléma nélkül kiolvasható, ami így egy sor visszaélésre ad lehetőséget.
A biztonsági cég munkatársai a jelenleg is zajló, Las Vegas-i Black Hat konferencián számoltak be a HTC hanyagságáról. A mobil az ujjlenyomatról készült fájlt a /data/dbgraw.bmp útvonalon tárolja úgy, hogy ahhoz a rendszer, illetve bármelyik app speciális engedély nélkül hozzáférhet. A szakemberek azt is közölték, hogy az ujjlenyomatokban található apróbb hibákat is észlelték, azaz egy tökéletesen részletes, kinyerhető adatról van szó.
A HTC One max ujjlenyomat szenzora: hanyag kezelés
És lehet még ennél is rosszabb. A FireEye azt is felfedezte, hogy az előbb említett fájl nem az első alkalommal beszkennelt lenyomatot tárolja, hanem minden azonosítás után frissíti magát. Vagyis folyamatosan egy friss adatbázist hoz létre a felhasználó éppen aktuális biometrikus azonosítójáról. De mielőtt a HTC-t teljes mértékben eltemetnénk ez ügyben, a kutatók arra is felhívták a figyelmet, hogy az ujjlenyomatok mobilon való tárolása a többi gyártónál sem problémamentes, mivel az erre rendszeresített megoldások (TrustZone, Secure Enclave) is számos sebezhetőségi ponttal rendelkeznek.
Nagy a kockázat
A jelenség azért is nyugtalanító, mert a gyártók egyre nagyobb számban alkalmaznak ujjlenyomat-olvasó szenzorokat a mobiloknál, sőt, a Google legutóbb bejelentette, hogy az Android rendszerszinten is támogatni fogja ezt a fajta azonosítást, amire a hamarosan érkező Android Pay is épülni fog. A kockázat pedig jóval nagyobb, mint a jelszavaknál, hiszen míg azok megváltoztathatók, addig az ujjlenyomat nem, sőt, ezért az utóbbi megszerzése egy állandó fenyegetést jelent a „tulajdonosának”.
Az aktuális ügy kapcsán a HTC szóvivője annyit közölt, hogy ismerik a FireEye jelentését, tudnak a problémáról, dolgoznak is rajta, és kizárólag a HTC One max modell érintett, az összes többi típus mentes ettől a hibától.
Az ötlettől az értékteremtésig – a gépi tanulási pipeline szerepe az adattudományi működésben
A jó adatok önmagukban még nem elegendők: a modellek csak akkor működnek megbízhatóan, ha egy átlátható, automatizált és reprodukálható környezetben futnak. A gépi tanulási pipeline-ok éppen ezt a technológiai hátteret teremtik meg.
a melléklet támogatója a One Solutions
EGY NAPBA SŰRÍTÜNK MINDENT, AMIT MA EGY PROJEKTMENEDZSERNEK TUDNIA KELL!
Ütős esettanulmányok AI-ról, agilitásról, csapattopológiáról. Folyamatos programok három teremben és egy közösségi térben: exkluzív információk, előadások, interaktív workshopok, networking, tapasztalatcsere.
2026.03.10. UP Rendezvénytér
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak