Denne sikkerhedsbrist i Android må være en af de værre, for der kan stjæles fingeraftryk i stort antal.
Dit fingeraftryk er måske ikke så sikkert som du tror, ihvertfald ikke hvis du benytter en af de Android-enheder på markedet der kommer med en fingeraftrykslæser.
Det har en sikkerhedsforsker demonstreret på konferencen Black Hat i Las Vegas. Det skriver ZDnet.
Medgivet, der går ikke en dag for tiden uden at teknikinteresserede kan læse om sikkerhedshuller et sted, og det rammer rimeligt bredt. Men denne mulige sikkerhedsbrist må aligevel nok kategoriseres i den grimme ende af skalaen (læs videre).
En reel trussel for Android
Truslen er bekræftet at omfatte HTC One Max og Samsung Galaxy S5.
Men ZDnet skriver at truslen berører de fleste Android-enheder med fingeraftrykslæser.
Et af de fire mulige angreb som forskerne peger på kalder de “fingeraftryks spionangreb” (fingerprint sensor spying attack) som vil kunne hente fingeraftryk fra inficerede Android-enheder i stor skala. Vel og mærke udefra i et angreb du næppe opdager.
Sikkerhedsbristen består i at telefonerne ikke skærmer fingeraftryksscannen i tilstrækkelig grad. Dine fingeraftryk er kun beskyttet på “system niveau” og ikke på “administrator niveau” (root).
Det betyder at beskyttelsen af fingeraftryk ikke er optimal hvis telefonen inficeres med ondsindet kode, via en fishning-app, jailbreak el.lign.
Apple er ikke ramt
Når sikkerhedsforskeren ikke nævner iPhone og iPad, så skyldes det at Apple har sikret dem bedre.
Her er alle fingeraftryk krypteret, og selv en app med system-adgang til fingeraktryksscanneren vil ikke kunne hente en kopi af fingeraftrykket uden at have krypteringsnøglen også.
Man kan ikke lige udskifte sit fingeraftryk
Hvis identitetstyve først har dit fingeraftryk, så kan de for evigt udgive sig for at være dig.
Derfor må denne brist siges at være en del grimmere, end de “daglige” huller der senere bare kan lukkes ved at udskifte noget “dødt”.
En computer kan geninstalleres, kodeord kan udskiftes, kreditkort kan fornys – men ens fingeraftryk kan man ikke lige udskifte hvis først de er lækket!
Lige nu og her er anvendelsen for fingeraftryk typisk begrænset til ting på telefonen, som at låse den op.
Men i 2019 forventes det at halvdelen af alle solgte telefoner er med fingeraftrykslæser, og til den tid med mulighed for at godkende betalinger, pengeoverførsler mv. og så vil trusselsbilledet for misbrug kun være øget.
Så vi må gentage det gode gamle råd: Installér ikke software på Android fra kilder som du ikke har fuld tillid til.