Lassan ott tartunk, hogy minden hétre jut valami komoly mobilbiztonsági ügy, ami miatt veszélyben lehetnek a személyes adataink. Elsőként a StageFright borzolta a kedélyeket, utána az úgynevezett Certifi-gate következett, most pedig egy gyártó, a HTC miatt irányulhat ismét nagyobb figyelem a biometrikus azonosításban rejlő veszélyekre.

Itt van, vigyétek!

Az eddigi, rendszerszintű biztonsági hibákkal ellentétben most egy konkrét gyártó egy bizonyos telefonjáról van szó. A FireEye kutató felfedezték, hogy a HTC One max a felhasználó ujjlenyomatát minden különösebb (értsd: semmilyen) védelem nélkül, egy képfájlban tárolja, ami (akár távolról is) minden probléma nélkül kiolvasható, ami így egy sor visszaélésre ad lehetőséget.

A biztonsági cég munkatársai a jelenleg is zajló, Las Vegas-i Black Hat konferencián számoltak be a HTC hanyagságáról. A mobil az ujjlenyomatról készült fájlt a /data/dbgraw.bmp útvonalon tárolja úgy, hogy ahhoz a rendszer, illetve bármelyik app speciális engedély nélkül hozzáférhet. A szakemberek azt is közölték, hogy az ujjlenyomatokban található apróbb hibákat is észlelték, azaz egy tökéletesen részletes, kinyerhető adatról van szó.

A HTC One max ujjlenyomat szenzora: hanyag kezelés

És lehet még ennél is rosszabb. A FireEye azt is felfedezte, hogy az előbb említett fájl nem az első alkalommal beszkennelt lenyomatot tárolja, hanem minden azonosítás után frissíti magát. Vagyis folyamatosan egy friss adatbázist hoz létre a felhasználó éppen aktuális biometrikus azonosítójáról. De mielőtt a HTC-t teljes mértékben eltemetnénk ez ügyben, a kutatók arra is felhívták a figyelmet, hogy az ujjlenyomatok mobilon való tárolása a többi gyártónál sem problémamentes, mivel az erre rendszeresített megoldások (TrustZone, Secure Enclave) is számos sebezhetőségi ponttal rendelkeznek.

Nagy a kockázat

A jelenség azért is nyugtalanító, mert a gyártók egyre nagyobb számban alkalmaznak ujjlenyomat-olvasó szenzorokat a mobiloknál, sőt, a Google legutóbb bejelentette, hogy az Android rendszerszinten is támogatni fogja ezt a fajta azonosítást, amire a hamarosan érkező Android Pay is épülni fog. A kockázat pedig jóval nagyobb, mint a jelszavaknál, hiszen míg azok megváltoztathatók, addig az ujjlenyomat nem, sőt, ezért az utóbbi megszerzése egy állandó fenyegetést jelent a „tulajdonosának”.

Az aktuális ügy kapcsán a HTC szóvivője annyit közölt, hogy ismerik a FireEye jelentését, tudnak a problémáról, dolgoznak is rajta, és kizárólag a HTC One max modell érintett, az összes többi típus mentes ettől a hibától.