 По сканеру отпечатков пальцев был поднят ряд вопросов с момента ее первого интегрирования в современных смартфонах: является ли он надежным и безопасным, и кто будет иметь доступ к личным отпечаткам пальцев?
Кроме ряда внешних способов обмануть сканер, исследователи FireEye, компании по безопасности, обнаружили внутренние уязвимости в таких телефонах, как HTC One Max и Samsung Galaxy S5, которые оставляли изображения отпечатков пальцев уязвимыми для копирования хакерами и вредоносными программами. Уязвимость с тех пор был зафиксирован на всех телефонах, проверенных исследователями, хотя неясно, как патч был применен.
Прежде чем говорить о том, насколько небезопасными являются отпечатки пальцев, вот несколько вещей, которые следует иметь в виду. Смартфон представляет собой просто крошечный компьютер без клавиатуры или мыши. Как и любой компьютер, смартфоны организуют свои данные в папках. Как пользователь, вы имеете доступ к одним папкам (как папке, которая содержит и отображает приложения, или та, которая содержит фотографии), и не имеете доступа к другим. Это должно предотвратить случайное удаление важных файлов. Для обеспечения безопасности, к некоторым папкам можно получить доступ только по операционным системам использующимися в телефонах; обычные пользователи и приложения не могут попасть внутрь. Эти виды папок, как правило имеют данные об отпечатках пальцев.
Samsung и HTC не делают этого. Вместо этого, они кладут их в папку под названием /data/, которая является широко доступной папкой. Если у вас есть телефон с Android, вы можете открыть файловый менеджер и посмотреть в эту папку прямо сейчас. (Она может показаться пустой, но только потому, что файлы скрыты для вас. Это может быть изменено в странице вариантов большинства файловых менеджеров.) Сам файл имеет общий формат изображения (.bmp) и изображение имеет только минимальную безопасность. Таким образом, если злоумышленник захочет взять образец отпечатка пальца, ничто не остановит его. Вот и все. Простого попадания в незащищенную папку будет достаточно.
По самой консервативной оценке, 12 миллионов телефонов были открыты для того, чтобы их отпечатки пальцев можно было украть - это последнее оцененное число моделей Samsung S5, которые были проданы. Шаткие цифры имеются и на HTC One Max, и если исследователи и обнаружили уязвимость на других телефонов, то они не упомянули имена.
В своем докладе, исследователи также отметили недостатки в терминологии между аутентификацией и авторизацией. Они называют это случаем, когда пользователь желает только открыть телефон, в то время как вредоносные приложение использует тот же отпечаток пальца для авторизации мобильного платежа. FIDO Alliance, консорциум по безопасности, имеющий Microsoft, Samsung и Google в качестве членов, в настоящее время работает над спецификацией для надлежащего устранения этих уязвимостей.
|
