网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


FireEye曝光HTC One Max重大隐患:未妥善保存指纹图像数据

2015-08-11 09:25 推荐: 浏览: 33 views 字号:

摘要: 研究人员发现了一个重磅炸弹——HTC竟然直接在Android手机上存储高分辨率的指纹图像,但却没有采取足够的保护措施。在上周发表的白皮书中,FireEye研究人员为我们介绍了“从HTC手机中恢复图像文件”究竟有多么简单。以One Max为例,HTC竟然直接将指...

研究人员发现了一个重磅炸弹——HTC竟然直接在Android手机上存储高分辨率的指纹图像,但却没有采取足够的保护措施。在上周发表的白皮书中,FireEye研究人员为我们介绍了“从HTC手机中恢复图像文件”究竟有多么简单。以One Max为例,HTC竟然直接将指纹图像配置文件放在了手机存储的“ /data/dbgraw.bmp”路径下,并启用了‘world-readable’权限,这意味着任何应用程序都能够窃取用户的指纹。

更糟糕的是,每使用一次指纹传感器,存储的这部分图像就会被刷新一次,因此恶意进程可以在不被发现的情况下多次盗取图片。

万幸的是,在FireEye告知此行为相当危险之后,HTC已经修复了该问题。

FireEye还确定了另一个影响其它Android手机的攻击方式,某些恶意软件甚至可以绕开系统的防护措施,直接访问到指纹硬件。

苹果公司使用了“安全飞地”(secure enclave)来存储指纹数据,但从不保存实际图像,所以几乎难以获取扫描的指纹。(尽管某团队成功攻破iPhone并盗取了一次)

今天的新闻表明,许多手机厂商都未能严肃确保用户的生物识别特征的技术安全,因为你很难知道他们到底如何对待你的指纹数据。

[编译自:TNW , 来源:BlackHat(PDF)]

联系站长租广告位!

中国首席信息安全官


关闭


关闭