Хакеры рассказали о способах кражи отпечатков пальцев у владельцев устройств на Android

Злоумышленники могут получать доступ к сканнерам отпечатков пальцев на некоторых гаджетах, работающих на ОС Android. Выяснившие это эксперты известили производителей о проблеме. Как отметили специалисты, хищение образцов отпечатков в массовом масштабе может стать катастрофой, так как это не пароль, который человек может поменять когда угодно.

07.08.2015, 06:10


фото: © Reuters
Существуют по меньшей мере четыре способа похитить образцы отпечатков пальцев у владельцев некоторых Android-устройств, на которых установлены соответствующие сканнеры. Об этом сотрудники занимающейся вопросами кибербезопасности компании FireEye Тао Вэй и Юлун Занг рассказали на конференции в Лас-Вегасе, сообщает The Daily Mail.

По словам специалистов, наибольшая уязвимость к таким атакам была обнаружена у устройств, произведённых Samsung, HTC и Huawei. Им об этом сообщили, и известные лазейки для хакеров уже постарались прикрыть. Однако эти обновления включены в последние версии Android, в то время как в прежних остались бреши.

Схема удалённого получения отпечатков простая. Гаджет заражается вирусом, который пытается получить доступ к сенсору отпечатков. В некоторых устройствах на Android он оказался недостаточно защищённым, в отличие от места хранения отпечатков в системе.

Как отметили эксперты, злоумышленники могут получить необходимые им данные как с обычным пользовательским доступом к системе смартфона, так и «рут-правами». В последнем случае это даже легче.

Как подчеркнули исследователи, ущерб от факта похищения образцов отпечатков более серьёзный, чем в случае с паролями. «В отличие от паролей, отпечатки пальцев даются на всю жизнь и обычно привязаны к важной информации, - отметили они - Будет катастрофой, если хакеры смогут удалённо собирать отпечатки в массовом масштабе».

Какие конкретно гаджеты наиболее уязвимы для подобных атак, кибер-специалисты пояснить отказались. Отметили лишь, что в отличие от Android-устройств, гаджеты от Apple более защищены от кражи отпечатков, так как шифрование данных на них идёт уже от сканнера.

Оригинал новости RT на русском:
http://russian.rt.com/article/107807

 

Так какие именно?

 

А тут как раз и 10 подоспела с биометрией)

 

Балавство всё это с биометрией и прочих подобных устройств, осталось умную туалетную бумагу сделать с подсчётом потеряных калорий и выводом инфы на e-inc - для поклонников рэтро т.е. газет.

 

Исследователи из компании FireEye, ранее обнаружившие способ похитить отпечатки пальцев с Android-смартфонов, оснащенных дактилоскопическими датчиками, презентовали полную версию доклада на конференции Black Hat в Лас-Вегасе. Наличие подобной уязвимости – плохая новость для отрасли: ожидается, что в 2019 году уже половина смартфонов будет оснащена дактилоскопическими датчиками.

Проанализировав работу смарфона HTC One Max, эксперты нашли зияющую дыру в безопасности: отпечатки пальцев, получаемые с дактилоскопа, хранятся в виде изображения (dbgraw.bmp) в совершенно незащищенной от стороннего доступа папке.

«Прочитав этот файл, любое приложение, даже не имеющее необходимых привилегий, может похитить дактилоскопические данные, а завладевший ими злоумышленник – подделать отпечатки, основываясь на полученных изображениях» — утверждают исследователи.

Это всего лишь один из четырех сценариев, доступных для компрометации данных биометической защиты смартфона на Android, которые обычно хранятся в особой безопасной зоне ОС Android – TrustedZone. Результаты исследования FireEye доказывают, что многие производители все еще пренебрегают защитой биометрических данных, которые должны храниться в защищенной зоне.

Например, злоумышленник может применить тактику, напоминающую знакомый всем фишинг: на экране может появиться поддельный экран блокировки, который пользователю предполагается «разблокировать», приложив палец к контактной площадке.

«Кроме того, каждый раз после использования дактилоскопа фреймворк системы авторизации обновляет растр отпечатка, чтобы сохранить последний отсканированный отпечаток – то есть, злоумышленник, получивший доступ к файлу, может незаметно собирать все изображения отпечатков владельца», — говорится в статье.

В особой зоне риска находятся «рутированные» Android-устройства. Хакеры, вооруженные эксплойтами, открывающими возможность удаленного исполнения кода, могут собирать отпечатки в массовом порядке до того, как они попадают в Trust Zone.

Есть и более экзотичные сценарии атаки – например, при возможности физического доступа к целевому устройству злоумышленник может загрузить собственное изображение отпечатка, но успех такой атаки маловероятен.

Пользователям Android-смартфонов с системами аутентификации на основе отпечатка пальца следует обновиться до последней официальной версии ROM, но, учитывая, что операторы и производители обычно не спешат выкатывать свежие патчи, придется и подумать об альтернативах – например, о сборках CyanogenMod.

Источник: https://threatpost.ru/2015/08/10/s-android-smartfonov-mozhno-ukrast-otpechatki/​

 

Конечно, проблемы могут быть, если хакер слил отпечатки.

Но гораздо более поганая вещь, что у спецслужб появляется возможность анонимно собрать отпечатки у очень большого количества людей.

А корпорация Гугл включилась активно в процессы глобализации и превращения мира в глобальный концлагерь.
Занимается проблемами глобального контроля, чипизации населения, техническим обеспечением трансгуманизма.
Очень опасные вещи для большинства населения планеты.

Поэтому все гаджеты от Гугла (и все их инициативы) требуют осторожного с ними обращения.

 

Все что создал человек можно взломать. Что-то нету примеров защит которых не удалось взломать.
Так ещё и спец. службы через 5 лет получат базу данных отпечатков от гугла и аппла и поиск людей будет по этим базам.

 

Ну что, сучечки, обожглись с вашими новыми технологиями и ширпотребом для масс?
Хотели себе модных гаджетов со свистелками и пирделками - получайте.

И никто вашего мнения не спросит, тощих выродков потных кухарок и пьяных алкоголиков - нужно вам тотальное слежение или нет.
Смартфоны прошли апробацию FCC и законное средство слежки.

Вывод: вот что происходит, когда до блестящих штуковин дорвутся потные руки плебеев.
Пенис с ними, с этим биомусором, но и нам доставляют порой некоторые неудобства, эти потребляди.
Зато они с лихвой компенсируют наши расходы на luxury items and high profile life style. Пусть страдают, со своей биометрией и прочим.

 

а что винда 8 вас не смущает? да и 10 собственно тоже.что всё безопасно? то что сервера левые это понятно ,но ни кто вас туда не тащит ими пользоваться.а вот то ,что нам навязывают да ещё и за наши деньки ,это уже перебор.

 

полностью согласен ,сейчас с этих гаджетов выйти в интернет,что с голой задницей по улице пробежать. сам не использую их да и ОС использую исключительно linux и всё на съемных носителях ,а не в "облоках". паранойя?, не думаю....

 

Вот ставится Cinnamon DE, годная среда для Linux - не тащит за собой вагон и маленькую тележку libs и dependencies. Или?
При установке - конфиг pacman делает рапорт: будет установлено и geoclue.
Спасибо, не надо геослежения. 'Geoclue is a D-Bus service that provides location information.'



Ясно, откуда geoclue появилась в установке Cinnamon.
Cinnamon - форк Gnome, Gnome сейчас любимая игрушка Red Hat, которая делают свою Fedora/Red Hat для корпоративных пользователей.

Мне это не надо, и удаляется одной коммандой.
Но теперь нужно внимательней читать, что устанавливается по дефолту.

UPD.
Вот теперь - стало годно. Ничего лишнего не болтается в systemd.



И работе Cinnamon DE - этот пакет geoclue2 вовсе не нужен.

 

да в юнити DE тоже поисковая система шпионит(во всяком случае всё легко выключить). у тебя Arch ? если не ошибаюсь.

 

Linux 4.1.4-1-ck #1 SMP PREEMPT Mon Aug 3 16:56:11 EDT 2015 x86_64 GNU/Linux
А у тебя какой kernel?

 

3.19 но я на debian ,а там с новизной сам знаешь) зато стабильно и то ладно.до арчи пока руки не доходят.

 

> 3.19 но я на debian ,а там с новизной сам знаешь)
Знаю. Даже в Arch нет последней версии ядра 4.1.*-pf
pf - специально для десктопов, с патчами для быстрой обработки запросов программ и I/O операций с носителями SSD/HDD.

Из debian, выбрал Linux Mint 32. Запускается и работает на любом железе с USB носителя. Аж удивительно.
Репозитории использует Ubuntu и Debian.

И конечно, Arch - сделать /boot вместе с Windows Boot Loader,
вывести / (вместе с /bin /lib) отдельно на SSD f2fs, /home и /var - отдельно на HDD, на CRYPT_LUKS партицию btrfs.
Сложно и интересно )

 

Отпечаток пальца не защитит смартфон

Почему проверка отпечатков пальцев — не лучший способ защиты данных



С выходом iPhone 5S производители смартфонов стали массово внедрять защиту данных с помощью сканера отпечатков пальцев. Однако эксперты уверены, что подобный метод защиты, несмотря на кажущуюся надежность, на самом деле представляет немалую опасность для пользователей.

Вопрос о надежности защиты данных с помощью отпечатка пальца был поднят на конференции экспертов по разработке систем безопасности Black Hat в Лас-Вегасе. Эксперты из FireEye повергли публику в шок, когда рассказали, что в некоторых Android-смартфонах отпечатки пальцев хранятся в незашифрованном виде.

В частности, специалисты выяснили, что в аппарате HTC One Max отпечатки пальцев находятся в общем разделе файловой системы в виде незащищенного графического файла dbgraw.bmp. Эти данные также уязвимы на аппаратах Samsung и Huawei.

В результате злоумышленники с помощью любого вредоносного процесса или приложения могут получить доступ к данному изображению в высоком разрешении.

Хакеры также могут использовать поддельные экраны блокировки для аутентификации личности в популярных платежных системах с целью перехвата денежных переводов и хищения средств. В заключение эксперты отметили, что многие производители мобильных устройств на базе Android не используют технологию TrustZone для защиты биометрических данных.

А поскольку к 2019 году половина всех проданных мобильных устройств будет оснащена сканером отпечатков пальцев, злоумышленники смогут не только массово похищать данные, но и добавлять свои отпечатки пальцев, тем самым блокируя доступ к устройству.

В то же время эксперты отметили, что на большинстве Android-смартфонов дактилоскопические датчики защищены слабее, чем на iPhone. Смартфоны Apple шифруют изображение отпечатка, так что, даже получив доступ к данным, хакеры не смогут прочитать его без криптографического ключа.

По словам антивирусного эксперта «Лаборатории Касперского» Сергея Ложкина, если скан отпечатка, хранящийся в телефоне, каким-то образом попадет к киберпреступникам, то сделать дубликат пальца будет достаточно несложно. «И, соответственно, они смогут получить доступ ко всем устройствам, где используется ваш отпечаток», — добавил эксперт.

Он также отметил, что телефону неважно, используется ли настоящий палец или его резиновый клон.

Получение отпечатков пальцев на самом деле не такой сложный процесс, ведь мы оставляем их в буквальном смысле везде. Более того, есть способы получения отпечатка и вовсе без доступа к нему. Немецкий хакер Ян Крисслер смог изготовить копию пальца министра обороны Германии всего лишь по ее фотографиям с публичного выступления, сделанным с расстояния в 3 м.

До этого Крисслеру удалось получить действующий отпечаток пальца прямо со сканера отпечатков iPhone 5S. Для этого он использовал всего лишь клей для дерева и графен.

Впрочем, получить доступ к данным, скрытым с помощью отпечатка пальцев, как показал пытливый ум ревнивых жен, можно гораздо проще: они просто прикладывали сканер к пальцу своих супругов, пока те спали.

Как рассказал «Газете.Ru» руководитель отдела маркетингового и технического сопровождения продуктов ESET Алексей Оськин, в скором времени, когда защита данных с помощью отпечатков пальцев будет иметь массовый характер, злоумышленники сразу же обратят на это внимание.

«Начнется охота на биометрические данные пользователей, и рано или поздно они окажутся в руках злоумышленников, если не предпринимать специальных мер по их защите», — предупреждает эксперт.

При этом, по словам Оськина, пользователи вряд ли сами смогут что-то сделать для защиты своих отпечатков, так что для них есть только один вариант: банально не использовать отпечатки пальцев как основной тип аутентификации.

С ним согласен и Сергей Ложкин. Обезопасить себя можно, используя комбинацию из отпечатка пальца и пароля, считает он. «Кроме того, рекомендуется все же установить пароль посложнее. Это не слишком удобно, но зато надежно», — указал эксперт.

В то же время если говорить о наиболее оптимальном способе аутентификации при помощи одного фактора защиты, то отпечаток пальца все же выглядит надежнее пароля, считает Алексей Оськин. «Но вопрос состоит не в том, какой из способов надежнее, а в том, насколько опасно использовать отпечатки пальцев как единственный фактор аутентификации, — отметил эксперт.

В то же время Ложкин абсолютно уверен, что пароль в любом случае будет более надежным способом защитить данные, чем отпечаток пальца.

По мнению Оськина, крупные технологические компании, активно внедряющие подобные способы аутентификации, а также государственные организации и специалисты по информационной безопасности должны вырабатывать единую политику по дальнейшему развитию подобных механизмов защиты данных, а также принимать стандарты безопасности шифрования и хранения данных о биометрических факторах.

Одним из решений потенциальной проблемы эксперт называет использование двухфакторной аутентификации, где главным ключом входа выступает палец, но при этом вместе с ним авторизация производится и с помощью других способов: дополнительных одноразовых паролей, графического ключа или сканера сетчатки глаза.

13.08.2015
http://www.gazeta.ru/tech/2015/08/13/7684906/sticky_fingers.shtml​