Взломать защиту нового смартфона HTC сможет даже школьник

    Биометрическая защита для смартфонов — хорошая вещь, но только если она грамотно реализована. Специалисты по безопасности из компании FireEye продемонстрировали, что не всегда реализация защиты сделана нормально. В некоторых смартфонах она такая, что угрожает безопасности самого владельца смартфона (доклад FireEye на конференции Black Hat, pdf).

    Например, в смартфонах HTC изображения отпечатка пальца хранятся в открытом для всех графическом файле. Украсть его может злоумышленник или вредоносное приложение.

    «Хотя некоторые производители заявляют, что хранят отпечатки пальцев в зашифрованном виде в системном разделе, они по ошибке хранят их в открытом виде в общедоступной папке, — пишут авторы доклада. — На HTC One Max X отпечаток сохраняется в файл /data/dbgraw.bmp с настройкой разрешения 0666 («общедоступно»). Любой непривилегированный процесс или приложение может украсть отпечаток пальца пользователя, прочитав этот файл».

    Авторам исследования удалось успешно восстановить отпечаток со смартфона и даже определить характеристики конкретного сканера.

    HTC – не единственный производитель, который реализовал слабую защиту отпечатков пальцев. Большинство остальных хранят файлы в защищенной области, но известные уязвимости все-таки дают злоумышленнику возможность получить доступ к ним.

    Представители HTC уже прислали официальный ответ. По их словам, специалисты компании ознакомились с отчетом FireEye и сейчас работают над исправлением бага.

    Авторы исследования обращают внимание на еще одну уязвимость, присущую многим производителям, включая HTC и Samsung. Это недостаточная защита канала данных от самого сенсора. Во многих смартфонах вредоносная программа может без проблем считывать данные напрямую с сенсора, когда пользователь прикладывает к нему палец.

    Предыдущая статьяSamsung берет вопрос защиты смартфонов в свои руки
    Следующая статьяБеспилотники научились взламывать компьютеры
    Александр Владимирович
    Главный редактор издания ITBusiness. Эксперт по SDN, Cloud Computing, авиабезопасности и BigData