Просмотр полной версии : Хакеры рассказали о способах кражи отпечатков пальцев у владельцев устройств на Android
Злоумышленники могут получать доступ к сканнерам отпечатков пальцев на некоторых гаджетах, работающих на ОС Android. Выяснившие это эксперты известили производителей о проблеме. Как отметили специалисты, хищение образцов отпечатков в массовом масштабе может стать катастрофой, так как это не пароль, который человек может поменять когда угодно.
07.08.2015, 06:10
http://russian.rt.com/data/f/d/4/fd42c1ec7fe0c522f86ee3e98348bdc52afe1847.jpg
фото: © Reuters
Существуют по меньшей мере четыре способа похитить образцы отпечатков пальцев у владельцев некоторых Android-устройств, на которых установлены соответствующие сканнеры. Об этом сотрудники занимающейся вопросами кибербезопасности компании FireEye Тао Вэй и Юлун Занг рассказали на конференции в Лас-Вегасе, сообщает The Daily Mail.
По словам специалистов, наибольшая уязвимость к таким атакам была обнаружена у устройств, произведённых Samsung, HTC и Huawei. Им об этом сообщили, и известные лазейки для хакеров уже постарались прикрыть. Однако эти обновления включены в последние версии Android, в то время как в прежних остались бреши.
Схема удалённого получения отпечатков простая. Гаджет заражается вирусом, который пытается получить доступ к сенсору отпечатков. В некоторых устройствах на Android он оказался недостаточно защищённым, в отличие от места хранения отпечатков в системе.
Как отметили эксперты, злоумышленники могут получить необходимые им данные как с обычным пользовательским доступом к системе смартфона, так и «рут-правами». В последнем случае это даже легче.
Как подчеркнули исследователи, ущерб от факта похищения образцов отпечатков более серьёзный, чем в случае с паролями. «В отличие от паролей, отпечатки пальцев даются на всю жизнь и обычно привязаны к важной информации, - отметили они - Будет катастрофой, если хакеры смогут удалённо собирать отпечатки в массовом масштабе».
Какие конкретно гаджеты наиболее уязвимы для подобных атак, кибер-специалисты пояснить отказались. Отметили лишь, что в отличие от Android-устройств, гаджеты от Apple более защищены от кражи отпечатков, так как шифрование данных на них идёт уже от сканнера.
Оригинал новости RT на русском:
http://russian.rt.com/article/107807
↑ (https://antichat.live/posts/3877345/)
Существуют по меньшей мере четыре способа похитить образцы отпечатков пальцев
Так какие именно?
А тут как раз и 10 подоспела с биометрией)
Балавство всё это с биометрией и прочих подобных устройств, осталось умную туалетную бумагу сделать с подсчётом потеряных калорий и выводом инфы на e-inc - для поклонников рэтро т.е. газет.
↑ (https://antichat.live/posts/3877373/)
Так какие именно?
Исследователи из компании FireEye, ранее обнаружившие способ похитить отпечатки пальцев с Android-смартфонов, оснащенных дактилоскопическими датчиками, презентовали полную версию доклада (http://www.theregister.co.uk/2015/08/10/htc_caught_storing_fingerprints_as_worldreadable_c leartext/) на конференции Black Hat в Лас-Вегасе. Наличие подобной уязвимости – плохая новость для отрасли: ожидается, что в 2019 году уже половина смартфонов будет оснащена дактилоскопическими датчиками (http://www.marketresearch.com/land/product.asp?productid=8918844&progid=87404).
Проанализировав работу смарфона HTC One Max, эксперты нашли зияющую дыру в безопасности: отпечатки пальцев, получаемые с дактилоскопа, хранятся в виде изображения (dbgraw.bmp) в совершенно незащищенной от стороннего доступа папке.
«Прочитав этот файл, любое приложение, даже не имеющее необходимых привилегий, может похитить дактилоскопические данные, а завладевший ими злоумышленник – подделать отпечатки, основываясь на полученных изображениях» — утверждают исследователи.
Это всего лишь один из четырех сценариев, доступных для компрометации данных биометической защиты смартфона на Android, которые обычно хранятся в особой безопасной зоне ОС Android – TrustedZone. Результаты исследования FireEye доказывают, что многие производители все еще пренебрегают защитой биометрических данных, которые должны храниться в защищенной зоне.
Например, злоумышленник может применить тактику, напоминающую знакомый всем фишинг: на экране может появиться поддельный экран блокировки, который пользователю предполагается «разблокировать», приложив палец к контактной площадке.
«Кроме того, каждый раз после использования дактилоскопа фреймворк системы авторизации обновляет растр отпечатка, чтобы сохранить последний отсканированный отпечаток – то есть, злоумышленник, получивший доступ к файлу, может незаметно собирать все изображения отпечатков владельца», — говорится в статье.
В особой зоне риска находятся «рутированные» Android-устройства. Хакеры, вооруженные эксплойтами, открывающими возможность удаленного исполнения кода, могут собирать отпечатки в массовом порядке до того, как они попадают в Trust Zone.
Есть и более экзотичные сценарии атаки – например, при возможности физического доступа к целевому устройству злоумышленник может загрузить собственное изображение отпечатка, но успех такой атаки маловероятен.
Пользователям Android-смартфонов с системами аутентификации на основе отпечатка пальца следует обновиться до последней официальной версии ROM, но, учитывая, что операторы и производители обычно не спешат выкатывать свежие патчи, придется и подумать об альтернативах – например, о сборках CyanogenMod.
Источник: https://threatpost.ru/2015/08/10/s-android-smartfonov-mozhno-ukrast-otpechatki/
Конечно, проблемы могут быть, если хакер слил отпечатки.
Но гораздо более поганая вещь, что у спецслужб появляется возможность анонимно собрать отпечатки у очень большого количества людей.
А корпорация Гугл включилась активно в процессы глобализации и превращения мира в глобальный концлагерь.
Занимается проблемами глобального контроля, чипизации населения, техническим обеспечением трансгуманизма.
Очень опасные вещи для большинства населения планеты.
Поэтому все гаджеты от Гугла (и все их инициативы) требуют осторожного с ними обращения.
kostyaspichev
11.08.2015, 11:37
Все что создал человек можно взломать. Что-то нету примеров защит которых не удалось взломать.
Так ещё и спец. службы через 5 лет получат базу данных отпечатков от гугла и аппла и поиск людей будет по этим базам.
altblitz
11.08.2015, 14:45
Ну что, сучечки, обожглись с вашими новыми технологиями и ширпотребом для масс?
Хотели себе модных гаджетов со свистелками и пирделками - получайте.
И никто вашего мнения не спросит, тощих выродков потных кухарок и пьяных алкоголиков - нужно вам тотальное слежение или нет.
Смартфоны прошли апробацию FCC и законное средство слежки.
Вывод: вот что происходит, когда до блестящих штуковин дорвутся потные руки плебеев.
Пенис с ними, с этим биомусором, но и нам доставляют порой некоторые неудобства, эти потребляди.
Зато они с лихвой компенсируют наши расходы на luxury items and high profile life style. Пусть страдают, со своей биометрией и прочим.
↑ (https://antichat.live/posts/3878745/)
Конечно, проблемы могут быть, если хакер слил отпечатки.
Но гораздо более поганая вещь, что у спецслужб появляется возможность анонимно собрать отпечатки у очень большого количества людей.
А корпорация Гугл включилась активно в процессы глобализации и превращения мира в глобальный концлагерь.
Занимается проблемами глобального контроля, чипизации населения, техническим обеспечением трансгуманизма.
Очень опасные вещи для большинства населения планеты.
Поэтому все гаджеты от Гугла (и все их инициативы) требуют осторожного с ними обращения.
а что винда 8 вас не смущает? да и 10 собственно тоже.что всё безопасно? то что сервера левые это понятно ,но ни кто вас туда не тащит ими пользоваться.а вот то ,что нам навязывают да ещё и за наши деньки ,это уже перебор.
↑ (https://antichat.live/posts/3878852/)
Ну что, сучечки, обожглись с вашими новыми технологиями и ширпотребом для масс?
Хотели себе модных гаджетов со свистелками и пирделками - получайте.
И никто вашего мнения не спросит, тощих выродков потных кухарок и пьяных алкоголиков - нужно вам тотальное слежение или нет.
Смартфоны прошли апробацию FCC и законное средство слежки.
Вывод: вот что происходит, когда до блестящих штуковин дорвутся потные руки плебеев.
Пенис с ними, с этим биомусором, но и нам доставляют порой некоторые неудобства, эти потребляди.
Зато они с лихвой компенсируют наши расходы на luxury items and high profile life style. Пусть страдают, со своей биометрией и прочим.
полностью согласен ,сейчас с этих гаджетов выйти в интернет,что с голой задницей по улице пробежать. сам не использую их да и ОС использую исключительно linux и всё на съемных носителях ,а не в "облоках". паранойя?, не думаю....
altblitz
11.08.2015, 16:27
↑ (https://antichat.live/posts/3878882/)
полностью согласен ,сейчас с этих гаджетов выйти в интернет,что с голой задницей по улице пробежать. сам не использую их да и ОС использую исключительно linux и всё на съемных носителях ,а не в "облоках". паранойя?, не думаю....
Вот ставится Cinnamon DE, годная среда для Linux - не тащит за собой вагон и маленькую тележку libs и dependencies. Или?
При установке - конфиг pacman делает рапорт: будет установлено и geoclue.
Спасибо, не надо геослежения. 'Geoclue is a D-Bus service that provides location information.'
http://li.tl/i/x/fxWiG.png
Ясно, откуда geoclue появилась в установке Cinnamon.
Cinnamon - форк Gnome, Gnome сейчас любимая игрушка Red Hat, которая делают свою Fedora/Red Hat для корпоративных пользователей.
Мне это не надо, и удаляется одной коммандой.
Но теперь нужно внимательней читать, что устанавливается по дефолту.
UPD.
Вот теперь - стало годно. Ничего лишнего не болтается в systemd.
http://li.tl/i/p/gmYnZ.png
И работе Cinnamon DE - этот пакет geoclue2 вовсе не нужен.
да в юнити DE тоже поисковая система шпионит(во всяком случае всё легко выключить). у тебя Arch ? если не ошибаюсь.
altblitz
11.08.2015, 17:13
↑ (https://antichat.live/posts/3878925/)
да в юнити DE тоже поисковая система шпионит(во всяком случае всё легко выключить). у тебя Arch ? если не ошибаюсь.
Linux 4.1.4-1-ck #1 SMP PREEMPT Mon Aug 3 16:56:11 EDT 2015 x86_64 GNU/Linux
А у тебя какой kernel?
3.19 но я на debian ,а там с новизной сам знаешь) зато стабильно и то ладно.до арчи пока руки не доходят.
altblitz
11.08.2015, 20:08
> 3.19 но я на debian ,а там с новизной сам знаешь)
Знаю. Даже в Arch нет последней версии ядра 4.1.*-pf
pf - специально для десктопов, с патчами для быстрой обработки запросов программ и I/O операций с носителями SSD/HDD.
Из debian, выбрал Linux Mint 32. Запускается и работает на любом железе с USB носителя. Аж удивительно.
Репозитории использует Ubuntu и Debian.
И конечно, Arch - сделать /boot вместе с Windows Boot Loader,
вывести / (вместе с /bin /lib) отдельно на SSD f2fs, /home и /var - отдельно на HDD, на CRYPT_LUKS партицию btrfs.
Сложно и интересно )
Отпечаток пальца не защитит смартфон
Почему проверка отпечатков пальцев — не лучший способ защиты данных
http://img.gazeta.ru/files3/930/7684930/shutterstock_151748684-pic510-510x340-96628.jpg
С выходом iPhone 5S производители смартфонов стали массово внедрять защиту данных с помощью сканера отпечатков пальцев. Однако эксперты уверены, что подобный метод защиты, несмотря на кажущуюся надежность, на самом деле представляет немалую опасность для пользователей.
Вопрос о надежности защиты данных с помощью отпечатка пальца был поднят на конференции экспертов по разработке систем безопасности Black Hat в Лас-Вегасе. Эксперты из FireEye повергли публику в шок, когда рассказали, что в некоторых Android-смартфонах отпечатки пальцев хранятся в незашифрованном виде.
В частности, специалисты выяснили, что в аппарате HTC One Max отпечатки пальцев находятся в общем разделе файловой системы в виде незащищенного графического файла dbgraw.bmp. Эти данные также уязвимы на аппаратах Samsung и Huawei.
В результате злоумышленники с помощью любого вредоносного процесса или приложения могут получить доступ к данному изображению в высоком разрешении.
Хакеры также могут использовать поддельные экраны блокировки для аутентификации личности в популярных платежных системах с целью перехвата денежных переводов и хищения средств. В заключение эксперты отметили, что многие производители мобильных устройств на базе Android не используют технологию TrustZone для защиты биометрических данных.
А поскольку к 2019 году половина всех проданных мобильных устройств будет оснащена сканером отпечатков пальцев, злоумышленники смогут не только массово похищать данные, но и добавлять свои отпечатки пальцев, тем самым блокируя доступ к устройству.
В то же время эксперты отметили, что на большинстве Android-смартфонов дактилоскопические датчики защищены слабее, чем на iPhone. Смартфоны Apple шифруют изображение отпечатка, так что, даже получив доступ к данным, хакеры не смогут прочитать его без криптографического ключа.
По словам антивирусного эксперта «Лаборатории Касперского» Сергея Ложкина, если скан отпечатка, хранящийся в телефоне, каким-то образом попадет к киберпреступникам, то сделать дубликат пальца будет достаточно несложно. «И, соответственно, они смогут получить доступ ко всем устройствам, где используется ваш отпечаток», — добавил эксперт.
Он также отметил, что телефону неважно, используется ли настоящий палец или его резиновый клон.
Получение отпечатков пальцев на самом деле не такой сложный процесс, ведь мы оставляем их в буквальном смысле везде. Более того, есть способы получения отпечатка и вовсе без доступа к нему. Немецкий хакер Ян Крисслер смог изготовить копию пальца министра обороны Германии всего лишь по ее фотографиям с публичного выступления, сделанным с расстояния в 3 м.
До этого Крисслеру удалось получить действующий отпечаток пальца прямо со сканера отпечатков iPhone 5S. Для этого он использовал всего лишь клей для дерева и графен.
Впрочем, получить доступ к данным, скрытым с помощью отпечатка пальцев, как показал пытливый ум ревнивых жен, можно гораздо проще: они просто прикладывали сканер к пальцу своих супругов, пока те спали.
Как рассказал «Газете.Ru» руководитель отдела маркетингового и технического сопровождения продуктов ESET Алексей Оськин, в скором времени, когда защита данных с помощью отпечатков пальцев будет иметь массовый характер, злоумышленники сразу же обратят на это внимание.
«Начнется охота на биометрические данные пользователей, и рано или поздно они окажутся в руках злоумышленников, если не предпринимать специальных мер по их защите», — предупреждает эксперт.
При этом, по словам Оськина, пользователи вряд ли сами смогут что-то сделать для защиты своих отпечатков, так что для них есть только один вариант: банально не использовать отпечатки пальцев как основной тип аутентификации.
С ним согласен и Сергей Ложкин. Обезопасить себя можно, используя комбинацию из отпечатка пальца и пароля, считает он. «Кроме того, рекомендуется все же установить пароль посложнее. Это не слишком удобно, но зато надежно», — указал эксперт.
В то же время если говорить о наиболее оптимальном способе аутентификации при помощи одного фактора защиты, то отпечаток пальца все же выглядит надежнее пароля, считает Алексей Оськин. «Но вопрос состоит не в том, какой из способов надежнее, а в том, насколько опасно использовать отпечатки пальцев как единственный фактор аутентификации, — отметил эксперт.
В то же время Ложкин абсолютно уверен, что пароль в любом случае будет более надежным способом защитить данные, чем отпечаток пальца.
По мнению Оськина, крупные технологические компании, активно внедряющие подобные способы аутентификации, а также государственные организации и специалисты по информационной безопасности должны вырабатывать единую политику по дальнейшему развитию подобных механизмов защиты данных, а также принимать стандарты безопасности шифрования и хранения данных о биометрических факторах.
Одним из решений потенциальной проблемы эксперт называет использование двухфакторной аутентификации, где главным ключом входа выступает палец, но при этом вместе с ним авторизация производится и с помощью других способов: дополнительных одноразовых паролей, графического ключа или сканера сетчатки глаза.
13.08.2015
http://www.gazeta.ru/tech/2015/08/13/7684906/sticky_fingers.shtml
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot