Tu je návod, ako hackeri kradnú odtlačky prstov z vášho telefónu

LAS VEGAS – Skenovanie odtlačkov prstov, odtlačky sietnice a dokonca aj podpisy srdca sú ponúkané ako bezpečnostné strieborné guľky. Hackeri môžu uhádnuť vaše heslo, ale nedokážu uhádnuť vaše odtlačky prstov, však? Nie práve. Vedúci výskumný pracovník FireEye, Tao Wei, a jeho kolega Yulong Zhang vystúpili na pódium v ​​Black Hat v Las Vegtas, aby ukázali všetky spôsoby, ako poraziť skenery odtlačkov prstov na mobilných telefónoch.



Štyri útoky
Počas svojej prezentácie Zhang ukázal štyri rôzne útoky, ktoré by mohli hackerovi umožniť ukradnúť alebo obísť skenery odtlačkov prstov. Prvý bol veľmi jednoduchý, ale mimoriadne dôležitý. Ukázal, ako môže útočník vytvoriť špeciálne vyvinutú aplikáciu, ktorá napodobňuje odomykaciu obrazovku telefónu. Keď obeť odomkne telefón prstom, v skutočnosti používa odtlačok prsta na zapečatenie finančnej transakcie.

Black Hat Bug ArtTento útok pramení z problému v odvetví, kde sa odtlačky prstov používajú na autentifikáciu – preukázanie, kto ste – a autorizáciu – umožňujúcu akciu. Problémom je aj kontext, povedal Zhang. Nepovolili by ste napríklad transakciu v aplikácii bez toho, aby ste videli sumu, ktorá sa míňa. Zavedú sa štandardy odporúčané spoločnosťou Zhang, aby sa zabezpečilo, že používatelia vždy vedia, na čo sa ich odtlačok používa a prečo.





Zhang tiež ukázal, že údaje o odtlačkoch prstov nie sú vždy bezpečne uložené na zariadeniach. Na HTC One Max Zhang zistil, že údaje o odtlačkoch prstov boli uložené ako bitmapový súbor. Hoci bol pozmenený, bolo možné ho ľahko znova poskladať do obrazu. Zhang povedal, že tento problém oznámil HTC a One Max už bol opravený. Ukazuje však, že podobné zraniteľnosti môžu mať aj iné telefóny.

Pri ďalšom útoku Zhang ukázal, ako mohol vopred načítať údaje o odtlačkoch prstov do telefónu a potom zabrániť používateľovi, aby videl, že boli pridané ďalšie odtlačky prstov. Zhang to demonštroval pomocou zariadenia so systémom Android. Hoci ponuka Nastavenia naznačovala, že bol zaregistrovaný iba jeden odtlačok prsta, úspešne odomkol telefón pomocou dvoch ďalších prstov, ktoré tajne zaregistroval. Toto, povedal Zhang, by mohlo poskytnúť útočníkovi zadné vrátka do jeho zariadenia.



Ale útok, o ktorom Zhang povedal, že je jeho obľúbený, bol skutočne pôsobivý. Za normálnych okolností, keď aplikácia potrebuje údaje o odtlačkoch prstov na zariadení so systémom Android, spravuje to TrustZone – bezpečné prostredie, ktoré s vonkajším svetom komunikuje iba prostredníctvom prostredníkov. Ale aplikácie, ktoré potrebujú vedieť, kedy sa používa snímač odtlačkov prstov, no bez toho, aby videli odtlačok prsta, majú priamy prístup k snímaču odtlačkov prstov. Zhang to dokázal využiť a vytvoriť útok, ktorý dokázal zachytiť údaje o odtlačkoch prstov kedykoľvek sa dotkol skenera.

Tento problém bol potvrdený na Samsung Galaxy S5 a HTC Max One, hoci obe už boli proti tomuto útoku opravené. To však neznamená, že vaše číslice sú v bezpečí. 'Mal by to byť všeobecný problém a nemal by sa obmedzovať len na HTC alebo Samsung,' povedal Zhang.

Týmto posledným útokom Zhang poukázal na to, že Apple tento problém rieši pomerne prehľadne pomocou Touch ID. Podobne ako zariadenia so systémom Android, aj aplikácie Apple niekedy potrebujú vidieť, že sa používa snímač odtlačkov prstov – napríklad pri registrácii odtlačkov prstov. Apple však šifruje všetky údaje vychádzajúce zo snímača odtlačkov prstov. „To útočníkovi zakazuje ľahko získať údaje o odtlačkoch prstov, pretože sú zašifrované,“ vysvetlil. Zhang

Koho to zaujíma?
Všetkým by nám malo záležať na bezpečnosti, no mali by sme byť obzvlášť opatrní pri biometrickom zabezpečení. Ako zdôraznil Wei v Black Hat, ak sú vaše biometrické údaje nejakým spôsobom ukradnuté, môžete stratiť možnosť používať tento biometrický identifikátor. Heslo si môžete kedykoľvek zmeniť, no máte len 10 prstov.

A biometrické overovanie práve teraz exploduje. Hoci čítačky odtlačkov prstov sú už dlho dostupné ako periférne zariadenia a zabudované do niektorých notebookov, zavedenie Touch ID na iPhone podnietilo širšie prijatie medzi smartfónmi. Podľa Wei bude viac ako 50 percent smartfónov mať do roku 2019 snímače odtlačkov prstov.

Odporúčané našimi redaktormi

A čo ľudiaSkenovať počítače na problémy so zabezpečením? Nie, skenujte používateľov

Malý tvar a technológie dostupné v smartfónoch tiež povzbudzujú vývojárov, aby sa pozreli na iné formy biometrickej autentifikácie. EyeVerify napríklad používa fotoaparát vášho telefónu prečítajte si odtlačok oka . Niektoré zariadenia Samsung vám dokonca umožňujú používať celú tvár pomocou funkcie Face Unlock.

Zhang odporučil každému, kto na svojom telefóne používal biometrické senzory, aby často dostával aktualizácie, vyhýbal sa obchodom s aplikáciami tretích strán a pokiaľ je to možné, vyhýbal sa rootovaniu vášho zariadenia. Zhang povedal, že bolo jasné, že biometrické zabezpečenie je pre predajcov stále vážnym bezpečnostným problémom. „Ukázali sme vám štyri útoky,“ povedal. 'Ale mohlo by tam byť viac.'

Aktualizovať
HTC poslal Garonovi nasledujúce vyhlásenie:

„HTC vie o správe FireEye o zabezpečení snímača odtlačkov prstov. Problém pre HTC One max sme už riešili vo všetkých regiónoch a netýka sa žiadnych iných zariadení HTC. Ako vždy, HTC berie bezpečnostné problémy veľmi vážne a robí z nich najvyššiu prioritu.'

Odporúčaná