http://www.chinatimes.com/realtimenews/20150423003410-260412
三星S5大漏洞 指紋竟可被複製!
三星Galaxy S5是該公司第一款搭載指紋辨識功能的手機,之後推出的
Galaxy Note 4、Galaxy Note Edge、Galaxy S6、Galaxy S6 Edge,也
都有搭載。如果你使用以上手機,都得留心以下新聞。根據《富比士》
網站報導,三星Galaxy S5被資安網站發現,其儲存指紋辨識資料的機
密區域竟有漏洞,能被駭客透過惡意程式存取。而究竟以上漏洞是否真
實存在,三星則表示仍在審查當中。
資安公司FireEye的報告指出,駭客只需要建立具有系統級權限的惡意
軟體,就可以蒐集Galaxy S5當中的指紋感測器數據,透過這個方法,
駭客不需要觸及設備中儲存指紋資料的Trusted Zone,就可以獲取指紋
資料,是一大漏洞。
透過以上方法,使用者每一次使用指紋辨識功能,啟用指紋感測器的時
候,駭客都可以獲取指紋資料。透過多個指紋數據,就能逆向生成指紋
樣式。有了指紋資料之後,有心人士當然可以為所欲為。
針對FireEye的報告,三星方面的回應:正在審查中,並且會盡快修補
現有的任何漏洞。
FireEye發現的漏洞,相當值得關注。因為指紋具有唯一性,不同於傳
統密碼,是不可重置的(其他生物辨識技術,也具有同樣特性),如果不
幸被竊,使用者的個資等於攤在陽光下,任人取用。令人更為擔心的是
,同樣的指紋漏洞會不會也同樣出現在Galaxy S6、S6 Edge這類的新機
上。若要消除消費者的疑慮,只有等候FireEye或其他資安公司以及三
星的進一步調查報告了。
心得:
這是另一篇報導,http://3c.ltn.com.tw/news/17705
「此外,FireEye 表示,這個方法在任何 Android 5.1 以下的系統版
本都可行;他們也表示,三星 Galaxy S5 的資料保護尤其不嚴密,駭
客只需在 S5 的記憶體上就可以找到使用者的指紋掃瞄資料。」
雖然s5的指紋辨識之前已經被用土砲的方法破解過了(同樣的方法也被
拿來破解iPhone,http://goo.gl/lxW74O ),但是這次被破解的等級完
全不一樣,不是用物理方法破解,而是系統被攻破可以直接盜取trusted
zone的資料。三星應該慶幸在自家支付系統上線前被發現這個問題XD