Index Vakbarát Hírportál

Könnyedén kijátszható a Samsung ujjlenyomat-olvasója

2015. április 23., csütörtök 10:26

Még mindig nem elég biztonságos az ujjlenyomatos azonosítás az androidos telefonokon, állítja Tao Wei és Yulong Zhang. A FireEye nevű hekkercsoport tagjai az RSA Conference nevű biztonságtechnikai események beszéltek arról, hogy több mobil esetében is viszonylag egyszerűen jutottak hozzá a leolvasó adataihoz, és külön kiemelték a Galaxy S5-öt.

A gyártók tisztában vannak azzal, hogy az ujjlenyomat különösen érzékeny személyes adat, ezért egy elkülönített, titkosított részen tárolják a telefonban. A hekkerek szerint azonban meg se kell próbálni ennek a védett területnek a feltörését, mert az adatokat már azelőtt meg lehet szerezni, mielőtt a leolvasó elküldené a biztonságos zónába. A legtöbb esetben ehhez felhasználói szintű hozzáférés és root jogosultság szükséges, de az S5 esetében a rendszerszintű jogosultság is elég.

Ezzel a támadó a leolvasó és a tárhely közé ékelődhet, és ha a felhasználó használja az ujjlenyomatos azonosítást, az adatok közvetlenül a szenzorból kiolvashatók. Ezek alapján pedig könnyedén összeállítható az ujjlenyomat képe, és kijátszható ez a biztonsági réteg.

Whei és Zhang kapcsolatba lépett a Samsunggal, akik állítólag már dolgoznak a megoldáson, de a probléma valószínűleg az összes többi gyártót is érinti. Sőt nem is csak az androidosokat, hiszen a Chaos Computer Club (CCC) nevű hekkerszövetség még decemberben mutatta be, hogyan tudják kijátszani az Iphone ujjlenyomat-olvasóját – igaz, ott a szenzorból loptak adatot, hanem közvetlenül a felhasználó ujjáról.

Általában a biometrikus azonosítás biztonsági problémáit mutatja, hogy szintén a CCC verte át egy hónapja a retinaolvasókat is. Ez persze nem azt jelenti, hogy az ilyen technológiákkal nem érdemes foglalkozni, hanem inkább azt, hogy van még hova fejleszteni őket. Ebben pedig éppen a Wheihoz és Zhanghoz hasonló fehér sapkás hekkerek lehetnek a gyártók segítségére. Addig is a jelenleg ismert legmegbízhatóbb megoldás az, ha a különböző biztonsági rétegeket együtt használjuk, hogy csak az egyik feltörésével még ne lehessen hozzájutni az adatainkhoz.

Rovatok