当前位置:主页 > 新奇软件 >

hTC资安大漏洞,指纹辨识图档储存不设防


2020-06-07


hTC资安大漏洞,指纹辨识图档储存不设防

安全研究人员发现 HTC 手机一个严重的资安问题:HTC 将你的指纹辨识直接储存为高解析度图片,放在 Android 手机的资料夹之中,而且保护措施非常脆弱。The Next Web 形容,这个错误非常严重,「彷彿一枚炸弹」。

上週,FireEye 的研究人员发布一份报告 ,内容介绍他们是如何轻鬆地从 HTC 的手机中复原图像文件。

hTC资安大漏洞,指纹辨识图档储存不设防
从这张图档来看,HTC 将指纹图像档直接存在/data/dbgraw.bmp,外部可以随意读取,代表了手机上所有的应用程式都可以随意窃取使用者的指纹。

更糟糕的是,每一次指纹感应器在扫描指纹时都会进行更新,因此恶意程式可能在没有侦测的状况下,窃取多张指纹照片。

在 FireEye 通知 HTC 这个危险性后,这个漏洞已经被填补起来。 但目前使用者手机中是否仍存有这个漏洞,还不得而知。

FireEye 还鉴定了另一个攻击,釐清了恶意软体在哪里可以规避系统保护,直接接触影响其他 Android 手机的指纹扫描硬体。

苹果使用了「secure enclave」来存储指纹数据,从来没有保存实际图像,所以它无法获取指纹的扫描,虽然曾经有一个小组使用硅胶成功骇入一个 iPhone 指纹辨识。

今天的新闻表明,许多手机厂商没有发展一套成熟的方式,来做生物识别技术的安全性,他们很难知道该怎幺运用或是如何妥善保护使用者的指纹数据或是其他辨别资讯。

虽然近日 HTC 股价大幅下滑,但是仍然不失为一个重要的代表性。许多厂商一味的想定位在高阶手机,但是实际上,程式研发的投入、应用生态圈的建立、运作实际上都差苹果很大一截。比起矇着眼睛乎口号,不如好好低下身来一件一件改善来的实在。

欢迎加入"Inside" Line 官方帐号,关注最新创业、科技、网路、工作讯息
hTC资安大漏洞,指纹辨识图档储存不设防
hTC资安大漏洞,指纹辨识图档储存不设防


上一篇:
下一篇: