В смартфонах известного тайваньского производителя отпечатки пальцев пользователей хранятся в виде графических файлов без ограничения доступа, что позволяет без труда похитить эти данные через любую программу на смартфоне.


Команда специалистов по безопасности из компании FireEye обнаружила серьезные проблемы, связанные с функциями сканирования отпечатков пальцев в смартфонах. Кроме этого им удалось выяснить, что модель One Max производства компании HTC является наиболее подверженной риску.

Технология сканирования отпечатков пальцев не нова, однако популярность пришла к ней недавно и в основном благодаря интересу со стороны потребителей, которым понравилась идея поддержания безопасности своих смартфонов и других портативных устройств без необходимости каждый раз вводить PIN-коды и пароли. В связи с этим, нет ничего удивительного в том, что производители оснащают флагманские модели своих мобильных устройств сканером отпечатков пальцев, однако как выяснила четверка ученых, их исполнение оставляет желать лучшего.

В соответствии с докладом компании FireEye, который был представлен на конференции Black Hat в Лас-Вегасе, разработчики не способны применять системы безопасности, встроенные в платформы и устройства собственного производства для надлежащей защиты биометрических данных пользователей. Хуже всех с этим справляется компания HTC: на их смартфоне HTC One Max данные отпечатков пальца хранятся в незашифрованном виде, причем в общедоступной папке, откуда их можно элементарно украсть с помощью любого ПО.

в тему: ОБНАРУЖЕНА СЕРЬЕЗНАЯ БРЕШЬ В БЕЗОПАСНОСТИ УСТРОЙСТВ С ПОДДЕРЖКОЙ СТАНДАРТА ZIGBEE

По мнению исследователей можно без всяких проблем создать вредоносное приложение, которое будет работать в фоновом режиме и воровать данные, включая каждый просканированный отпечаток пальца, независимо от того будет ли в итоге разблокировано устройство.

Хотя Компания HTC «провинилась» больше всех, она не одинока: похожие проблемы были обнаружены и в смартфонах производителей-конкурентов. Однако большинство производителей используют технологию TrustZone для защиты биометрических данных. Однокристальные микроконтроллеры с архитектурой  ARM позволяют защитить сам сканер от мошенников и хакеров.

Стоит отметить, что все продавцы мобильных устройств, упомянутые в отчете, уже выпустили патчи для устранения проблем, связанных с безопасностью хранения отпечатков.