Μπορεί να υποκλαπεί το δακτυλικό αποτύπωμα στο S5, υποστηρίζουν ειδικοί

Την ευρύτερη διάδοση της αξιοποίησης του δακτυλικού αποτυπώματος στα smartphone για να απαλλαγούν οι χρήστες από την ανάγκη τήρησης πολλαπλών περίπλοκων κωδικών ανακόπτει εύρημα δύο ειδικών σε θέματα ασφάλειας. Οι χρήστες του Samsung Galaxy S5 μπορεί να ξεγελαστούν να δώσουν το δακτυλικό του αποτύπωμα νομίζοντας ότι ξεκλειδώνουν την οθόνη του smartphone τους, ενώ χωρίς να το γνωρίζουν εξουσιοδοτούν την χρέωση της πιστωτικής τους κάρτας, αποδεικνύουν στο συνέδριο RSA Security Conference που διεξάγεται στο Σαν Φρανσίσκο.

Το κενό ασφαλείας εντόπισαν οι Yulong Zhang και Tao Wei της εταιρείας FireEye. Αφορά στην πρόσβαση στην μνήμη του τηλεφώνου πριν το δακτυλικό αποτύπωμα περιέλθει στην προστατευμένη περιοχή της μνήμης («Trusted Zone»). Μάλιστα, σύμφωνα με τους ερευνητές, το πρόβλημα δεν περιορίζεται στο Samsung Galaxy S5, αλλά δυνητικά αφορά όλα τα smartphone με Android 5.0 ή παλαιότερη έκδοση, αφού ο τρόπος που περιγράφουν για την υποκλοπή του δακτυλικού αποτυπώματος αφορά στο λειτουργικό σύστημα. Πάντως, στην έκδοση Android 5.1.1 ο κίνδυνος δεν υφίσταται, σημειώνουν σε συνέντευξή τους στο περιοδικό Forbes online. Επιπλέον, ο επιτιθέμενος θα πρέπει να έχει δικαιώματα πρόσβασης υψηλού επιπέδου στην συσκευή -αν και η απαίτηση αυτή δεν υφίσταται στο S5.

Με την πληροφορία από την μνήμη, οι εισβολείς θα μπορούσαν να σχεδιάσουν μια πλαστή οθόνη κλειδώματος, ώστε να εισάγουν το δακτυλικό αποτύπωμα του χρήστη όχι για να ξεκλειδώσει την συσκευή, αλλά για να δώσει την εξουσιοδότησή του για μια πληρωμή.

Επιπλέον, οι ειδικοί της FireEye δηλώνουν ότι έχουν επίσης βρει τον τρόπο να αντικαταστήσουν δακτυλικό αποτύπωμα του πραγματικού κατόχου με άλλα, αποδίδοντας το κενό ασφαλείας στα τηλέφωνα που δεν κρατούν επαρκείς πληροφορίες για το πόσα δακτυλικά αποτυπώματα χρησιμοποιούνται σε αυτά.

Αυτή δεν είναι η πρώτη φορά που τα βιομετρικά συστήματα με δακτυλικά αποτυπώματα αποδεικνύονται επισφαλή.

• Διαβάστε επίσης: RSA: Δεκάδες δισ. οι απώλειες από το ηλεκτρονικό εμπόριο στο smartphone

Τον Απρίλιο του περασμένου έτους, ερευνητές βιομετρικών συστημάτων αναγνώρισης επαναλάμβαναν πως οι αναγνώστες δακτυλικών αποτυπωμάτων στα smartphone δεν εξυπηρετούν παρά τους σκοπούς του μάρκετινγκ. Οι αισθητήρες τους δεν είναι ικανοί να ξεχωρίσουν εάν πρόκειται για πραγματικό ή ψεύτικο δάκτυλο, επιμένουν. Τα smartphone είναι γεμάτα με αποτυπώματα του χρήστη, είναι εύκολο να δημιουργηθούν αντίγραφα, ο χρήστης δεν μπορεί να αλλάξει αποτύπωμα και η PayPal θα ήταν καλύτερα να μην δέχεται αυτή την μέθοδο πιστοποίησης ταυτότητας από τα Galaxy S5, αποδεικνύουν οι ειδικοί των εργαστηρίων έρευνας SRL.

Διαβάστε περισσότερα για τα συστήματα βιομετρικής αναγνώρισης στο tech.in.gr:

• Με make-up, φωτογραφίες και ηχογραφήσεις ξεγελιούνται τα βιομετρικά συστήματα Επιστήμονες από δώδεκα οργανισμούς σε επτά χώρες συνεργάστηκαν για να εντοπίσουν τα τρωτά σημεία των βιομετρικών συστημάτων που υπόσχονται την ασφάλεια των προσωπικών δεδομένων των χρηστών smartphone, υπολογιστών και tablet. Η κοινοπραξία Tabula Rasa χρηματοδοτήθηκε από την Ευρωπαϊκή Ένωση και ανέπτυξε αντίμετρα, που ξεχωρίζουν ότι ο επίδοξος εισβολέας… φοράει μέικ-απ, δείχνει μια φωτογραφία ή αναπαράγει μια φωνητική ηχογράφηση από το υποψήφιο θύμα του για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση προς το στόχο.
• Χάκεψαν τον αναγνώστη δακτυλικού αποτυπώματος στο iPhone 5S Δεκαέξι χιλιάδες δολάρια μετρητά, κάποια επιπλέον σε μορφή bitcoin, αρκετά μπουκάλια αλκοόλ και ένα «βρόμικο» βιβλίο υπόσχονται δύο ανεξάρτητοι ειδικοί ασφάλειας υπολογιστών σε όποιον κατορθώσει να χακάρει τον αναγνώστη δακτυλικού αποτυπώματος στο iPhone 5S. Όπως αποδεικνύεται, το TouchID ήταν παιχνιδάκι για την παγκοσμίως γνωστή ομάδα των Γερμανών χάκερ Chaos Computer Club.
• Η σύζυγος χακάρει το TouchID στο iPhone 5S του συζύγου της Τα μέλη του Chaos Computer Club δεν ήταν τα μόνα που κατάφεραν να χακάρουν τον αναγνώστη δακτυλικού αποτυπώματος του iPhone 5S. Το TouchID επέτρεψε την πρόσβαση και σε… άλλον δάκτυλο, με το γνήσιο αποτύπωμα του πραγματικού ιδιοκτήτη του iPhone 5S.

In.gr Τεχνολογία