Menu

Chyba v zabezpečení Galaxy S5 umožňuje hackerům získat otisky prstů

Patrně není nutné zdůrazňovat, že biometrická data patří mezi důležité osobní údaje, které by se měly těšit nejvyšší možné míře ochrany. Tento týden promluvili na konferenci RSA odborníci z bezpečnostní firmy FireEye, kteří rozebírali úroveň zabezpečení těchto dat. Výzkumníci této společnosti totiž při testech provedených na telefonu Samsung Galaxy S5 zjistili poměrně znepokojivou věc – totiž, že hackeři mají relativně snadnou cestu, jak získat biometrická data (v tomto případě otisky prstů) a vytvořit jejich kopii.

Odborníci šli cestou nejmenšího odporu – namísto pokusu o prolomení bezpečného šifrovaného úložiště se pokusili ukrást tyto informace přímo ze čtečky otisků prstů, kterou má telefon implementovanou v hardwarovém tlačítku Domů. Patrně největší nebezpečí tkví v tom, že aplikace, která by takto chtěla získávat otisky, nepotřebuje práva roota, ale pouze oprávnění na úrovni systému. Yulong Zhang z FireEye uvedl pro Forbes, že škodlivá aplikace může číst data přímo ze snímače a pokaždé, když se dotknete svým prstem, ukrást jeho otisk a poté s ním udělat, co uzná její autor za vhodné.

samsung galaxy s5 touchwiz

Neměli bychom ale zapomenout zmínit jeden důležitý fakt: chyba údajně není zneužitelná na zařízeních s Androidem 5.0 a novějším. Majitelé Samsungu Galaxy S5 tak mají další důvod, proč rozhodně neváhat s aktualizací na nejnovější dostupnou verzi systému. Společnost Samsung bere ochranu soukromí svých spotřebitelů a bezpečnost jejich dat velmi vážně a v současnosti tvrzení FireEye vyšetřuje.

S ohledem na relativně omezený počet testovaných zařízení lze předpokládat, že se výše uvedený problém nebude týkat výhradně Samsungu Galaxy S5. Proto, pokud máte telefon se čtečkou otisků prstů, bude rozhodně vhodné provést aktualizaci na Android 5.0 Lollipop, jakmile to bude možné.

Zdroje: Android Authority, Android Headlines.

 

Komentáře

FAKTUZMETEDZACINATEULTRASTVAT

24.4.2015 16:44

Na iPhonech to jde jednoduše od výroby a nikdo to do teď „neopravil / neřešil” … získat otisk prstů je však mnohem složitější, než dostat COKOLIV z telefonu od člověka, který má v mobilu CM nebo. To stačí být na stejné WiFi a za 5 min se mu hrabete v telefonu a klidně si z něj telefonujete …

JaroB

24.4.2015 17:36

Ako som už aj inde písal ….len počkajte par rôčkov…odtlačok sa nemení takže sa bude dať zneužiť aj o 10-15 rokov kedy bude bežnou súčasťou …a len potom sa začnú zneužívať takto ľahko získané odtlačky…ale hlúpym ľudom to nevysvetlíš lebo nepoužívajú mozog na rozmýšľanie …nech sa páči odovzdávajte dobrovoľne biometrické údaje cudzím vládam alebo hackerom :D

FAKTUZMETEDZACINATEULTRASTVAT

24.4.2015 18:34

JaroB: Lidem to zjevně nevadí. Každý den si více a více lidí instaluje CM a na druhé straně si více a více lidí shromažďuje data do chvíle, až je bude třeba použít. V praxi to již v některých odvětvích funguje. Např. lustrace potenciálního zaměstnance přes Google nestačí, tudíž je třeba získat jeho údaje ze sociálních sítí, z telefonu a prostě odevšad. A to je díky lidské hlouposti snadnější než spočítat z hlavy 256*28. Věřím, že 90% lidí s CM to nespočte do 10 vteřin, i když je normální odpovědět do vteřin pěti.

Patrik Janoušek

Patrik Janoušek

24.4.2015 20:29

FAKTUZME: Opravdu by mě zajímalo co máš neustále proti CM. Je to jedna z nejkvalitnějších ROMek a ty do ní musíš neustále rejpat. Samozřejmě konstruktivní kritiku beru, ale zatím jsem nidke nevyděl tvůj smysluplný důvod, proč nemáš rád CM…

Imrich

Imrich

24.4.2015 20:29

FAKTUZMETEDZACINATEULTRASTVAT: Ono je mozne ist v uvahach este dalej. Napr. kolko ludi je ochotnych kupovat vyrobky spolocnosti Samsung, ktorej produkcia je katastrofalna (najnizsia kvalita TV na trhu, panel lottery, fiasko na poli vyroby aut…). Tieto vyrobky su predavane tiez len vdaka ludskej hluposti a verim, ze 90% majitelov vyrobkov Samsung 256*28 nespocita ani do 30 sekund.

FAKTUZMETEDZACINATEULTRASTVAT

25.4.2015 1:05

Imrich: Možná to nespočítají, ale paradoxně jsou prakticky rozumnější, jelikož si koupí Samsungu zajistí to, že pokud budout mít s telefonem problém, nebude to na straně telefonu … to se u konkurence (vyjma Nexus a občas LG či HTC) říct nedá.

RH

RH

25.4.2015 8:44

Odemykání telefonu se neprovádí nikdy tak aby bylo mozno ziskat celej otisk prstu. Bohuzel kazdy vynalez se da i zneuzit tak to je u vseho. Clovek si musi davat vzdy pozor co instaluje ,pokud to nebude nejak chytre uz v telefonu od koupě. Biometrické pasy se už dělají ne? Otázka času kdy tohle bude bohužel standart

JaroB

25.4.2015 10:18

FAKTUZMETEDZACINATEULTRASTVAT:
“jelikož si koupí Samsungu zajistí to, že pokud budout mít s telefonem problém, nebude to na straně telefonu ”
TAK S TÝMTO SI TO ZAKLINCOVAL …HA HA HA

Prof.Xavi

25.4.2015 22:11

FAKTUZMETEDZACINATEULTRASTVAT:
“Na iPhonech to jde jednoduše od výroby a nikdo to do teď „neopravil / neřešil“ ”
Zase perla co :D . Hlavně, že na iPhonu je otisk šifrovaný a ještě uložený v samostatné části telefonu kam má přístup jen samotné iOS a žádná jiná aplikace. Navíc je VŠE LOKÁLNÍ! Prosím, nevypouštějte takové s****y do světa :)

FAKTUZMETEDZACINATEULTRASTVAT

25.4.2015 23:45

Prof.Xavi: Nastuduj si co je to šifrování, jak funguje a jak je až neskutečně trapné jej odejít, když máš k telefonu plný přístup, což máš u iPhone zpravidla vždy (stejně jako u Androidu s ROOT či ještě lépe CM). Je to stejně primitivní jako šifrování, co já vím, pro příklad např. u WiFi. Heslo k WEP stihne i jouda zjistit do 1 minuty. Proto každý používá WPA2-PSK. Jenže když je aktivní WPS, je to otázka pár vteřin či minut, a můžete mít heslo třeba i 50 znaků různých kombinací. Vše je o zadních vrátkách, a ty má iPhone tak otevřené, že … a to si opravdu nedělám legraci … si ten otisk třeba i za pomocí správného SW třeba vytisknete, i když se nikde skutečný obrázek otisku prstu nenachází a ani neexistuje. Ano, je to tak snadné.

Imrich

Imrich

26.4.2015 10:30

Prof.Xavi, FAKTUZMETEDZACINATEULTRASTVAT: Na iPhone (predpokladam, ze to plati aj pre Samsung), sa samozrejme ziaden otlacok nikde neuklada. Uklada sa len jeho hash, cize nie je mozne rekonstruovat samotny otlacok. To je zaklad fungovania ochrany hesiel minimalne 20 rokov – ukldanie hashov hesiel. Ziaden rozumny autentifikacny a autorizacny system neuklada hesla nehachovanej podobe. Tu ide o nieco uplne ine a zjavne ste nepochopili pointu:
Moznost zneuzit CITACKU na ziskanie otlacku – co je, pochopitelne, uplne iny problem.

RSS (komentáře k článku)