hTC 資安大漏洞,指紋辨識圖檔儲存不設防

許多手機廠商沒有走出一套自己的方式來做生物識別技術的安全性,他們很難知道他們自己對於你的指紋數據或是其他辨別資訊該怎麼運用或是如何妥善被保護。
評論
評論

本文翻譯自 TNW News

安全研究人員發現 HTC 手機一個嚴重的資安問題:HTC 將你的指紋辨識直接儲存為高解析度圖片,放在 Android 手機的資料夾之中,而且保護措施非常脆弱。The Next Web 形容,這個錯誤非常嚴重,「彷彿一枚炸彈」。

上週,FireEye 的研究人員發佈一份報告 ,內容介紹他們是如何輕鬆地從 HTC 的手機中復原圖像文件。

Screen-Shot-2015-08-10-at-4.20.38-PM
從這張圖檔來看,HTC 將指紋圖像檔直接存在/data/dbgraw.bmp,外部可以隨意讀取,代表了手機上所有的應用程式都可以隨意竊取使用者的指紋。

更糟糕的是,每一次指紋感應器在掃描指紋時都會進行更新,因此惡意程式可能在沒有偵測的狀況下,竊取多張指紋照片。

在 FireEye 通知 HTC 這個危險性後,這個漏洞已經被填補起來。 但目前使用者手機中是否仍存有這個漏洞,還不得而知。

FireEye 還鑑定了另一個攻擊,釐清了惡意軟體在哪裡可以規避系統保護,直接接觸影響其他 Android 手機的指紋掃描硬體。

蘋果使用了「secure enclave」來存儲指紋數據,從來沒有保存實際圖像,所以它無法獲取指紋的掃描,雖然曾經有一個小組使用矽膠成功駭入一個 iPhone 指紋辨識。

今天的新聞表明,許多手機廠商沒有發展一套成熟的方式,來做生物識別技術的安全性,他們很難知道該怎麼運用或是如何妥善保護使用者的指紋數據或是其他辨別資訊。

雖然近日 HTC 股價大幅下滑,但是仍然不失為一個重要的代表性。許多廠商一味的想定位在高階手機,但是實際上,程式研發的投入、應用生態圈的建立、運作實際上都差蘋果很大一截。比起矇著眼睛乎口號,不如好好低下身來一件一件改善來的實在。

歡迎加入"Inside" Line 官方帳號,關注最新創業、科技、網路、工作訊息

好友人數