Уязвимость в некоторых Android-девайсах ставит под удар биометрические данные пользователя

FINGER

ИБ-исследователи из компании FireEye обнаружили серьезную уязвимость в некоторых смартфонах на базе Android с биометрическими сканерами. Оказалось, что отпечатки пальцев пользователей хранятся в виде незашифрованного изображения. Эксперты сообщили, что смартфоны HTC One Max и Samsung Galaxy S5 подвержены данной уязвимости. Пользовательские данные владельцев других мобильных устройств на базе Android также могут находиться в зоне риска. HTC One Max признан специалистами самым уязвимым. Данные об отпечатках пальцев хранятся в смартфоне в виде незашифрованного BMP-файла, который может быть прочитан с помощью любого непривилегированного процесса или приложения.

ИБ-исследователи Юлонг Чжан, Чжаофэн Чэнь, Хуэй Сюэ и Тао Вей представили отчет об уязвимостях на конференции Black Hat в Лас-Вегасе. В докладе на 11 страницах рассказывается о том, что хищение данных об отпечатках пальцев может иметь крайне негативные последствия для пользователя. Безопасность биометрической информации является приоритетным вопросом.

Согласно предоставленной FireEye информации, данные об отпечатках пальцев пользователя хранятся в смартфоне HTC One Max в виде открытого файла dbgraw.bmp, а большинство производителей мобильных устройств неправильно блокируют сенсор отпечатков пальцев, что делает гаджеты еще более уязвимыми.

Разработчики HTC уверяют, что другие модели смартфонов компании не подвержены данной уязвимости. Компании HTC и Samsung уже выпустили обновления, исправляющие данные бреши. Эксперты рекомендуют пользователям вовремя обновлять все инструменты девайсов, а производителям – использовать в разработках технологию TrustZone и надлежащее шифрование.