Cap jari anda unik kepada anda.
Pengimbas cap jari untuk keselamatan tambahan pada telefon pintar anda masuk akal, kan?
Malangnya, ia kelihatan seperti keselamatan tambahan mungkin lebih daripada tanggungjawab. Penyelidik mendakwa kecacatan yang terdapat pada peranti Android tertentu boleh membiarkan penggodam mengklon pengesahan cap jari dan menggunakannya untuk cyberattacks tambahan dan potensi kecurian.
Tao Wei dan Yulong Zhang dari firma keselamatan FireEye mendakwa mereka telah menemui kegagalan dalam keselamatan pengesahan cap jari untuk Samsung Galaxy S5 dan peranti Android yang lain. Kedua-duanya baru-baru ini menyampaikan (PDF) penemuan mereka di Persidangan RSA.
$config[code] not foundPada dasarnya, masalah itu pecah kepada ini:
- Maklumat mengenai telefon pintar ini dibahagikan dan disulitkan dalam zon selamat berasingan.
- Kesilapannya ialah penyerang boleh merebut maklumat cap jari anda sebelum mencapai zon terlindung, atau TrustZone sebagai Wei dan Zhang memanggilnya.
- Dari sana, data cap jari boleh disalin dan disimpan.
Ini bermakna penyerang tidak perlu mencuba dan memecahkan TrustZone. Sebaliknya, maklumat dicuri dari memori atau penyimpanan. Penyerang hanya perlu menguruskan akses peringkat pengguna dan cap jari anda adalah milik mereka. Masalahnya kelihatan lebih teruk pada Galaxy S5, di mana malware hanya memerlukan akses peringkat sistem.
Zhang memberitahu Forbes:
"Jika penyerang boleh memecahkan kernel teras sistem operasi Android, walaupun ia tidak dapat mengakses data cap jari yang tersimpan di zon yang dipercayai, ia dapat membaca sensor sidik jari secara langsung pada setiap saat. Setiap kali anda menyentuh sensor cap jari, penyerang boleh mencuri cap jari anda … Anda boleh mendapatkan data dan dari data yang anda boleh menghasilkan imej cap jari anda. Selepas itu anda boleh melakukan apa sahaja yang anda mahukan. "
Masalah ini nampaknya hanya hadir pada peranti yang menjalankan sistem operasi lebih lama daripada Android 5.0 Lollipop. Wei dan Zhang mencadangkan sesiapa yang menggunakan versi lama harus mengemaskini peranti mereka jika boleh.
Jurucakap Samsung memberitahu Forbes melalui e-mel:
"Samsung mengambil privasi pengguna dan keselamatan data dengan sangat serius. Kami sedang menyiasat tuntutan FireEye. "
Wei dan Zhang berkata mereka tidak menguji mana-mana peranti lain tetapi mereka membuat spekulasi bahawa masalah itu mungkin tersebar luas. Mereka mencadangkan mengambil langkah berjaga-jaga untuk melindungi maklumat anda. Pastikan peranti anda dikemas kini, hanya pasang apl dari sumber yang popular dan boleh dipercayai, dan berpegang kepada vendor peranti mudah alih dengan patch dan naik taraf yang tepat pada masanya. Mereka juga mencadangkan pengguna perusahaan mungkin ingin mendapatkan perkhidmatan profesional untuk mendapat perlindungan daripada serangan sasaran maju.
Foto Cap jari melalui Shutterstock
Ulasan ▼
