FireEye曝光HTC One Max重大隐患:未妥善保存指纹图像数据

研究人员发现了一个重磅炸弹——HTC竟然直接在Android手机上存储高分辨率的指纹图像,但却没有采取足够的保护措施。在上周发表的白皮书中,FireEye研究人员为我们介绍了“从HTC手机中恢复图像文件”究竟有多么简单。以One Max为例,HTC竟然直接将指纹图像配置文件放在了手机存储的“ /data/dbgraw.bmp”路径下,并启用了‘world-readable’权限,这意味着任何应用程序都能够窃取用户的指纹。

FireEye曝光HTC One Max重大隐患:未妥善保存指纹图像数据的照片 - 1

更糟糕的是,每使用一次指纹传感器,存储的这部分图像就会被刷新一次,因此恶意进程可以在不被发现的情况下多次盗取图片。

万幸的是,在FireEye告知此行为相当危险之后,HTC已经修复了该问题。

FireEye曝光HTC One Max重大隐患:未妥善保存指纹图像数据的照片 - 2

FireEye还确定了另一个影响其它Android手机的攻击方式,某些恶意软件甚至可以绕开系统的防护措施,直接访问到指纹硬件。

苹果公司使用了“安全飞地”(secure enclave)来存储指纹数据,但从不保存实际图像,所以几乎难以获取扫描的指纹。(尽管某团队成功攻破iPhone并盗取了一次)

今天的新闻表明,许多手机厂商都未能严肃确保用户的生物识别特征的技术安全,因为你很难知道他们到底如何对待你的指纹数据。

[编译自:TNW , 来源:BlackHat(PDF)]

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: