Хакеры рассказали о способах кражи отпечатков пальцев у владельцев устройств на Android

Discussion in 'Мировые новости. Обсуждения.' started by BAGZ, 7 Aug 2015.

  1. BAGZ

    BAGZ Member

    Joined:
    27 Apr 2012
    Messages:
    64
    Likes Received:
    5
    Reputations:
    0
    Злоумышленники могут получать доступ к сканнерам отпечатков пальцев на некоторых гаджетах, работающих на ОС Android. Выяснившие это эксперты известили производителей о проблеме. Как отметили специалисты, хищение образцов отпечатков в массовом масштабе может стать катастрофой, так как это не пароль, который человек может поменять когда угодно.

    07.08.2015, 06:10

    [​IMG]
    фото: © Reuters
    Существуют по меньшей мере четыре способа похитить образцы отпечатков пальцев у владельцев некоторых Android-устройств, на которых установлены соответствующие сканнеры. Об этом сотрудники занимающейся вопросами кибербезопасности компании FireEye Тао Вэй и Юлун Занг рассказали на конференции в Лас-Вегасе, сообщает The Daily Mail.

    По словам специалистов, наибольшая уязвимость к таким атакам была обнаружена у устройств, произведённых Samsung, HTC и Huawei. Им об этом сообщили, и известные лазейки для хакеров уже постарались прикрыть. Однако эти обновления включены в последние версии Android, в то время как в прежних остались бреши.

    Схема удалённого получения отпечатков простая. Гаджет заражается вирусом, который пытается получить доступ к сенсору отпечатков. В некоторых устройствах на Android он оказался недостаточно защищённым, в отличие от места хранения отпечатков в системе.

    Как отметили эксперты, злоумышленники могут получить необходимые им данные как с обычным пользовательским доступом к системе смартфона, так и «рут-правами». В последнем случае это даже легче.

    Как подчеркнули исследователи, ущерб от факта похищения образцов отпечатков более серьёзный, чем в случае с паролями. «В отличие от паролей, отпечатки пальцев даются на всю жизнь и обычно привязаны к важной информации, - отметили они - Будет катастрофой, если хакеры смогут удалённо собирать отпечатки в массовом масштабе».

    Какие конкретно гаджеты наиболее уязвимы для подобных атак, кибер-специалисты пояснить отказались. Отметили лишь, что в отличие от Android-устройств, гаджеты от Apple более защищены от кражи отпечатков, так как шифрование данных на них идёт уже от сканнера.

    Оригинал новости RT на русском:
    http://russian.rt.com/article/107807
     
    K800 and makag like this.
  2. Volk_J

    Volk_J New Member

    Joined:
    16 May 2015
    Messages:
    27
    Likes Received:
    3
    Reputations:
    0
    Так какие именно?
     
  3. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,114
    Likes Received:
    830
    Reputations:
    231
    А тут как раз и 10 подоспела с биометрией)
     
    _________________________
  4. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    Балавство всё это с биометрией и прочих подобных устройств, осталось умную туалетную бумагу сделать с подсчётом потеряных калорий и выводом инфы на e-inc - для поклонников рэтро т.е. газет.
     
    _________________________
  5. equal

    equal Member

    Joined:
    26 Jul 2015
    Messages:
    54
    Likes Received:
    62
    Reputations:
    2
    Исследователи из компании FireEye, ранее обнаружившие способ похитить отпечатки пальцев с Android-смартфонов, оснащенных дактилоскопическими датчиками, презентовали полную версию доклада на конференции Black Hat в Лас-Вегасе. Наличие подобной уязвимости – плохая новость для отрасли: ожидается, что в 2019 году уже половина смартфонов будет оснащена дактилоскопическими датчиками.

    Проанализировав работу смарфона HTC One Max, эксперты нашли зияющую дыру в безопасности: отпечатки пальцев, получаемые с дактилоскопа, хранятся в виде изображения (dbgraw.bmp) в совершенно незащищенной от стороннего доступа папке.

    «Прочитав этот файл, любое приложение, даже не имеющее необходимых привилегий, может похитить дактилоскопические данные, а завладевший ими злоумышленник – подделать отпечатки, основываясь на полученных изображениях» — утверждают исследователи.

    Это всего лишь один из четырех сценариев, доступных для компрометации данных биометической защиты смартфона на Android, которые обычно хранятся в особой безопасной зоне ОС Android – TrustedZone. Результаты исследования FireEye доказывают, что многие производители все еще пренебрегают защитой биометрических данных, которые должны храниться в защищенной зоне.

    Например, злоумышленник может применить тактику, напоминающую знакомый всем фишинг: на экране может появиться поддельный экран блокировки, который пользователю предполагается «разблокировать», приложив палец к контактной площадке.

    «Кроме того, каждый раз после использования дактилоскопа фреймворк системы авторизации обновляет растр отпечатка, чтобы сохранить последний отсканированный отпечаток – то есть, злоумышленник, получивший доступ к файлу, может незаметно собирать все изображения отпечатков владельца», — говорится в статье.

    В особой зоне риска находятся «рутированные» Android-устройства. Хакеры, вооруженные эксплойтами, открывающими возможность удаленного исполнения кода, могут собирать отпечатки в массовом порядке до того, как они попадают в Trust Zone.

    Есть и более экзотичные сценарии атаки – например, при возможности физического доступа к целевому устройству злоумышленник может загрузить собственное изображение отпечатка, но успех такой атаки маловероятен.

    Пользователям Android-смартфонов с системами аутентификации на основе отпечатка пальца следует обновиться до последней официальной версии ROM, но, учитывая, что операторы и производители обычно не спешат выкатывать свежие патчи, придется и подумать об альтернативах – например, о сборках CyanogenMod.
     
  6. nikp

    nikp Banned

    Joined:
    19 Sep 2008
    Messages:
    328
    Likes Received:
    591
    Reputations:
    764
    Конечно, проблемы могут быть, если хакер слил отпечатки.

    Но гораздо более поганая вещь, что у спецслужб появляется возможность анонимно собрать отпечатки у очень большого количества людей.

    А корпорация Гугл включилась активно в процессы глобализации и превращения мира в глобальный концлагерь.
    Занимается проблемами глобального контроля, чипизации населения, техническим обеспечением трансгуманизма.
    Очень опасные вещи для большинства населения планеты.

    Поэтому все гаджеты от Гугла (и все их инициативы) требуют осторожного с ними обращения.
     
    K800, ZodiaX and kostyaspichev like this.
  7. kostyaspichev

    kostyaspichev New Member

    Joined:
    24 Jul 2015
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Все что создал человек можно взломать. Что-то нету примеров защит которых не удалось взломать.
    Так ещё и спец. службы через 5 лет получат базу данных отпечатков от гугла и аппла и поиск людей будет по этим базам.
     
    nikp likes this.
  8. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Ну что, сучечки, обожглись с вашими новыми технологиями и ширпотребом для масс?
    Хотели себе модных гаджетов со свистелками и пирделками - получайте.

    И никто вашего мнения не спросит, тощих выродков потных кухарок и пьяных алкоголиков - нужно вам тотальное слежение или нет.
    Смартфоны прошли апробацию FCC и законное средство слежки.

    Вывод: вот что происходит, когда до блестящих штуковин дорвутся потные руки плебеев.
    Пенис с ними, с этим биомусором, но и нам доставляют порой некоторые неудобства, эти потребляди.
    Зато они с лихвой компенсируют наши расходы на luxury items and high profile life style. Пусть страдают, со своей биометрией и прочим.
     
  9. vikii

    vikii Banned

    Joined:
    29 Dec 2013
    Messages:
    175
    Likes Received:
    73
    Reputations:
    1
    а что винда 8 вас не смущает? да и 10 собственно тоже.что всё безопасно? то что сервера левые это понятно ,но ни кто вас туда не тащит ими пользоваться.а вот то ,что нам навязывают да ещё и за наши деньки ,это уже перебор.
     
  10. vikii

    vikii Banned

    Joined:
    29 Dec 2013
    Messages:
    175
    Likes Received:
    73
    Reputations:
    1
    полностью согласен ,сейчас с этих гаджетов выйти в интернет,что с голой задницей по улице пробежать. сам не использую их да и ОС использую исключительно linux и всё на съемных носителях ,а не в "облоках". паранойя?, не думаю....
     
    altblitz likes this.
  11. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Вот ставится Cinnamon DE, годная среда для Linux - не тащит за собой вагон и маленькую тележку libs и dependencies. Или?
    При установке - конфиг pacman делает рапорт: будет установлено и geoclue.
    Спасибо, не надо геослежения. 'Geoclue is a D-Bus service that provides location information.'

    [​IMG]

    Ясно, откуда geoclue появилась в установке Cinnamon.
    Cinnamon - форк Gnome, Gnome сейчас любимая игрушка Red Hat, которая делают свою Fedora/Red Hat для корпоративных пользователей.

    Мне это не надо, и удаляется одной коммандой.
    Но теперь нужно внимательней читать, что устанавливается по дефолту.

    UPD.
    Вот теперь - стало годно. Ничего лишнего не болтается в systemd.

    [​IMG]

    И работе Cinnamon DE - этот пакет geoclue2 вовсе не нужен.
     
    #11 altblitz, 11 Aug 2015
    Last edited: 11 Aug 2015
    vikii likes this.
  12. vikii

    vikii Banned

    Joined:
    29 Dec 2013
    Messages:
    175
    Likes Received:
    73
    Reputations:
    1
    да в юнити DE тоже поисковая система шпионит(во всяком случае всё легко выключить). у тебя Arch ? если не ошибаюсь.
     
  13. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Linux 4.1.4-1-ck #1 SMP PREEMPT Mon Aug 3 16:56:11 EDT 2015 x86_64 GNU/Linux
    А у тебя какой kernel?
     
  14. vikii

    vikii Banned

    Joined:
    29 Dec 2013
    Messages:
    175
    Likes Received:
    73
    Reputations:
    1
    3.19 но я на debian ,а там с новизной сам знаешь) зато стабильно и то ладно.до арчи пока руки не доходят.
     
  15. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    > 3.19 но я на debian ,а там с новизной сам знаешь)
    Знаю. Даже в Arch нет последней версии ядра 4.1.*-pf
    pf - специально для десктопов, с патчами для быстрой обработки запросов программ и I/O операций с носителями SSD/HDD.

    Из debian, выбрал Linux Mint 32. Запускается и работает на любом железе с USB носителя. Аж удивительно.
    Репозитории использует Ubuntu и Debian.

    И конечно, Arch - сделать /boot вместе с Windows Boot Loader,
    вывести / (вместе с /bin /lib) отдельно на SSD f2fs, /home и /var - отдельно на HDD, на CRYPT_LUKS партицию btrfs.
    Сложно и интересно )
     
    #15 altblitz, 11 Aug 2015
    Last edited: 11 Aug 2015
  16. K800

    K800 Nobody's Fool

    Joined:
    25 Dec 2010
    Messages:
    2,191
    Likes Received:
    3,828
    Reputations:
    372
    Отпечаток пальца не защитит смартфон

    Почему проверка отпечатков пальцев — не лучший способ защиты данных

    [​IMG]


    С выходом iPhone 5S производители смартфонов стали массово внедрять защиту данных с помощью сканера отпечатков пальцев. Однако эксперты уверены, что подобный метод защиты, несмотря на кажущуюся надежность, на самом деле представляет немалую опасность для пользователей.

    Вопрос о надежности защиты данных с помощью отпечатка пальца был поднят на конференции экспертов по разработке систем безопасности Black Hat в Лас-Вегасе. Эксперты из FireEye повергли публику в шок, когда рассказали, что в некоторых Android-смартфонах отпечатки пальцев хранятся в незашифрованном виде.

    В частности, специалисты выяснили, что в аппарате HTC One Max отпечатки пальцев находятся в общем разделе файловой системы в виде незащищенного графического файла dbgraw.bmp. Эти данные также уязвимы на аппаратах Samsung и Huawei.

    В результате злоумышленники с помощью любого вредоносного процесса или приложения могут получить доступ к данному изображению в высоком разрешении.

    Хакеры также могут использовать поддельные экраны блокировки для аутентификации личности в популярных платежных системах с целью перехвата денежных переводов и хищения средств. В заключение эксперты отметили, что многие производители мобильных устройств на базе Android не используют технологию TrustZone для защиты биометрических данных.

    А поскольку к 2019 году половина всех проданных мобильных устройств будет оснащена сканером отпечатков пальцев, злоумышленники смогут не только массово похищать данные, но и добавлять свои отпечатки пальцев, тем самым блокируя доступ к устройству.

    В то же время эксперты отметили, что на большинстве Android-смартфонов дактилоскопические датчики защищены слабее, чем на iPhone. Смартфоны Apple шифруют изображение отпечатка, так что, даже получив доступ к данным, хакеры не смогут прочитать его без криптографического ключа.

    По словам антивирусного эксперта «Лаборатории Касперского» Сергея Ложкина, если скан отпечатка, хранящийся в телефоне, каким-то образом попадет к киберпреступникам, то сделать дубликат пальца будет достаточно несложно. «И, соответственно, они смогут получить доступ ко всем устройствам, где используется ваш отпечаток», — добавил эксперт.

    Он также отметил, что телефону неважно, используется ли настоящий палец или его резиновый клон.

    Получение отпечатков пальцев на самом деле не такой сложный процесс, ведь мы оставляем их в буквальном смысле везде. Более того, есть способы получения отпечатка и вовсе без доступа к нему. Немецкий хакер Ян Крисслер смог изготовить копию пальца министра обороны Германии всего лишь по ее фотографиям с публичного выступления, сделанным с расстояния в 3 м.

    До этого Крисслеру удалось получить действующий отпечаток пальца прямо со сканера отпечатков iPhone 5S. Для этого он использовал всего лишь клей для дерева и графен.

    Впрочем, получить доступ к данным, скрытым с помощью отпечатка пальцев, как показал пытливый ум ревнивых жен, можно гораздо проще: они просто прикладывали сканер к пальцу своих супругов, пока те спали.

    Как рассказал «Газете.Ru» руководитель отдела маркетингового и технического сопровождения продуктов ESET Алексей Оськин, в скором времени, когда защита данных с помощью отпечатков пальцев будет иметь массовый характер, злоумышленники сразу же обратят на это внимание.

    «Начнется охота на биометрические данные пользователей, и рано или поздно они окажутся в руках злоумышленников, если не предпринимать специальных мер по их защите», — предупреждает эксперт.

    При этом, по словам Оськина, пользователи вряд ли сами смогут что-то сделать для защиты своих отпечатков, так что для них есть только один вариант: банально не использовать отпечатки пальцев как основной тип аутентификации.

    С ним согласен и Сергей Ложкин. Обезопасить себя можно, используя комбинацию из отпечатка пальца и пароля, считает он. «Кроме того, рекомендуется все же установить пароль посложнее. Это не слишком удобно, но зато надежно», — указал эксперт.

    В то же время если говорить о наиболее оптимальном способе аутентификации при помощи одного фактора защиты, то отпечаток пальца все же выглядит надежнее пароля, считает Алексей Оськин. «Но вопрос состоит не в том, какой из способов надежнее, а в том, насколько опасно использовать отпечатки пальцев как единственный фактор аутентификации, — отметил эксперт.

    В то же время Ложкин абсолютно уверен, что пароль в любом случае будет более надежным способом защитить данные, чем отпечаток пальца.

    По мнению Оськина, крупные технологические компании, активно внедряющие подобные способы аутентификации, а также государственные организации и специалисты по информационной безопасности должны вырабатывать единую политику по дальнейшему развитию подобных механизмов защиты данных, а также принимать стандарты безопасности шифрования и хранения данных о биометрических факторах.

    Одним из решений потенциальной проблемы эксперт называет использование двухфакторной аутентификации, где главным ключом входа выступает палец, но при этом вместе с ним авторизация производится и с помощью других способов: дополнительных одноразовых паролей, графического ключа или сканера сетчатки глаза.

     
    equal and nikp like this.
Loading...