HTC 手機用戶注意!資安公司 FireEye 發現,HTC 手機會自動將用戶的指紋辨識儲存為高解析度的圖片,並存放在 Android 資料夾。可怕的是,圖片自動儲存後,保護措施相當薄弱,很可能導致用戶指紋被竊取。
資安公司 FireEye 發現,HTC One Max 是把指紋以圖像檔的方式直接存在 /data/dbgraw.bmp,這是一個公開、幾乎是「任何人都可讀取的」檔案夾,外部可以隨意閱覽,代表手機上所有的應用程式都有機會竊取使用者的指紋。
HTC 手機會自動將用戶的指紋辨識儲存為高解析度的圖片,並存放在 Android 資料夾。(圖片來源/HTC)
更慘的是,每次使用者進行指紋辨識時,裝置都會進行更新,因此惡意程式可能在用戶毫不察覺的狀況下,就把指紋圖片偷走。如果經過加工,還可以將指紋印出來,以騙過銀行認證程序,以盜取用戶的存款。研究人員指出,這樣的狀況是 Android 手機生物特徵資料遭竊取時最可能發生的四大狀況之一。
指紋辨識是未來的趨勢,至 2019 年,研究人員預估將有一半的新手機都將使用指紋辨識系統。(記者王憶紅攝)
在拉斯維加斯舉行的黑帽大會(Black Hat)上,資安公司發表報告指出,其實許多手機製造商都未使用Android的 TrustZone 安全架構來保護敏感的生物辨識資訊,HTC 的例子只是較誇張。
這次爆出漏洞的 HTC One Max 是宏達電於 2013 年推出的機種,也是宏達電首支搭載指紋辨識的手機。宏達電當初曾表示,HTC One max 在記憶指紋特徵,只要 50% 左右的指紋面積就可以辨識。
這次爆出漏洞的 HTC One Max 是宏達電於 2013 年推出的機種,也是宏達電首支搭載指紋辨識的手機。(圖片來源/彭博社)
指紋辨識的資安問題相當值得注意,也是極為嚴肅的。因指紋辨識是未來的趨勢,至 2019 年,研究人員預估將有一半的新手機都將使用指紋辨識系統,若不做好防護措施,未來類似的資安問題只會越來越嚴重。
資料來源:http://airlable8.pixnet.net/blog/post/368899459
留言列表
