Sormenjäljetkö yksityistä arvotavaraa? Tietoturvatutkijat paljastivat biometriikan Android-aukkoja - Tietoturva - Ilta-Sanomat

Ison valmistajan luuri vuosi käyttäjiensä sormenjäljet

Tietoturvayrityksen tutkijat ovat paljastaneet vakavia virheitä siinä, miten puhelinvalmistajat käsittelevät yksityistietojasi.

10.8.2015 10:17

Biometrisen tunnistautumisen aikakaudella sormenjäljet ja muut biologisesti yksilöivät tunnisteet ovat koko ajan tärkeämmässä asemassa. Erityisesti puhelimissa on viime vuosina yleistynyt sormenjäljellä puhelimen lukitusten avaaminen.

Joissain Android-puhelimissa sormenjäljet tosin talletetaan varsin leväperäisesti, kertoo The Register.

Tietoturvayritys FireEyen tutkijat ovat löytäneet useita biometrisiin tunnisteisiin liittyviä haavoittuvuuksia Android-puhelimista. Näihin kuuluu tapa varastaa sormenjälkesi suoraan biometrisiä sensoreita käyttävistä puhelimista, kuten Samsung Galaxy S5:stä ja HTC One Maxista.

HTC:n puhelimen kohdalla sormenjäljen puhaltaminen luurista ei vaatinut tutkijoilta mitään erityisiä oikeuksia.

Kuvat sormenjäljistä tallennettiin vakioidulla nimellä (dbgraw.bpm) avoimeen hakemistoon, joka oli minkä tahansa puhelimella pyörivän prosessin vapaasti luettavissa. HTC on sittemmin tutkijoiden ilmoituksen seurauksena korjannut tämän aukon.

Samsungilla tallennetut sormenjäljet ovat suojatussa muistissa, johon ei noin vain päässyt käsiksi. Sen sijaan tutkijat pystyivät sekä HTC:n että Samsungin puhelimella kaappaamaan dataa suoraan sormenjäljenlukijalta itseltään.

Tätä aukkoa käyttäen puhelinta olisi voinut käyttää keräämään kaikkien käyttäjien sormenjäljet. Myös tähän aukkoon tosin on jo julkaistu sen sulkeva tietoturvapäivitys.

Päivitykset näihin aukkoihin ovat olemassa, mutta se ei vielä välttämättä tarkoita, että ne ovat asentuneet. Android-päivitykset ilmestyvät usein tipoittain ja hitaasti eri valmistajien eri laitteille ja niiden eri palveluntarjoajien tarjoamille versioille. Vaikka aukkoon olisi paikka, se ei siis välttämättä tarkoita, että sellainen on jo asennettu juuri sinun puhelimeesi.

Tutkijat myös esittelivät mahdollista hyökkäystä, jossa käyttäjälle esitetään lukitusruuduksi naamioitu ruutu, jonka avaaminen lähettää biometrisen hyväksynnän taustalla odottavaan maksusuoritukseen.

Jatkossa tämän kaltaiset maksupäätöksen huijaamisen mahdollistavat hyökkäykset pyritään estämään FIDO Alliancen mobiilimaksuja ja tunnistautumista koskevien turvamääritelmien avulla, mutta toistaiseksi tutkijat eivät tienneet yhtäkään tahoa, joka olisi toteuttanut määritelmät käytännössä.

Tutkijat käsittelivät myös teoreettisempaa mahdollisuutta esiasentaa puhelimeen vieraita sormenjälkitunnisteita sekä näiden piilottamista käyttäjältä.

Osion tuoreimmat

Luitko jo nämä?