Uw vingerafdruk is uniek voor u.
De vingerafdrukscanner voor extra beveiliging op je smartphone is logisch, toch?
Helaas lijkt het erop dat extra beveiliging mogelijk een grotere verantwoordelijkheid is. Onderzoekers beweren dat een gebrek in bepaalde Android-apparaten hackers kan helpen bij het klonen van je vingerafdrukverificatie en het gebruiken voor extra cyberaanvallen en potentiële diefstal.
Tao Wei en Yulong Zhang van het beveiligingsbedrijf FireEye beweren dat ze fouten hebben ontdekt in de beveiliging van vingerafdrukverificatie voor de Samsung Galaxy S5 en andere Android-apparaten. Het duo heeft onlangs zijn bevindingen op de RSA-conferentie gepresenteerd (PDF).
$config[code] not foundIn wezen is het probleem als volgt:
- Informatie over deze smartphones wordt gesegmenteerd en gecodeerd in afzonderlijke beveiligde zones.
- Het probleem is dat aanvallers uw vingerafdrukinformatie kunnen grijpen voordat deze de beschermde zone bereikt, of TrustZone zoals Wei en Zhang het noemen.
- Van daaruit kunnen vingerafdrukgegevens worden gekopieerd en opgeslagen.
Dit betekent dat aanvallers niet hoeven te proberen in te breken in de TrustZone. In plaats daarvan wordt informatie gestolen uit het geheugen of uit de opslag. Aanvallers moeten alleen toegang op gebruikersniveau beheren en uw vingerafdruk is van hen. Het probleem lijkt nog erger te zijn op de Galaxy S5, waar malware alleen toegang op systeemniveau nodig heeft.
Zhang vertelde Forbes:
"Als de aanvaller de kernel de kern van het Android-besturingssysteem kan doorbreken, hoewel hij geen toegang heeft tot de vingerafdrukgegevens die zijn opgeslagen in de vertrouwde zone, kan hij de vingerafdruksensor op elk moment lezen. Telkens wanneer u de vingerafdruksensor aanraakt, kan de aanvaller uw vingerafdruk stelen … U kunt de gegevens ophalen en uit de gegevens kunt u de afbeelding van uw vingerafdruk genereren. Daarna kun je doen wat je wilt. "
Dit probleem lijkt alleen aanwezig te zijn op apparaten met een besturingssysteem dat ouder is dan Android 5.0 Lollipop. Wei en Zhang stellen voor dat iedereen die een oudere versie gebruikt zijn apparaten indien mogelijk zou moeten updaten.
Een Samsung-woordvoerder vertelde Forbes via e-mail:
"Samsung neemt de privacy en gegevensbeveiliging van consumenten zeer serieus. We onderzoeken momenteel de claims van FireEye. "
Wei en Zhang zeiden dat ze geen andere apparaten hebben getest, maar ze speculeren dat het probleem wijdverspreid kan zijn. Zij stellen voor om voorzorgsmaatregelen te nemen om uw informatie te beschermen. Houd uw apparaat up-to-date, installeer alleen apps van populaire en betrouwbare bronnen en blijf bij leveranciers van mobiele apparaten met tijdige patches en upgrades. Ze hebben ook gesuggereerd dat zakelijke gebruikers misschien professionele services willen om bescherming te krijgen tegen geavanceerde doelaanvallen.
Vingerafdrukken Foto via Shutterstock
Reactie ▼
