Smartphones lagrer fingeraftryk usikkert

Artiklen blev oprindeligt publiceret den 10/8/2015

Smartphones har flere sårbarheder i behandlingen af fingeraftryk, finder forskere. En model fra HTC lagrede fingeraftryk usikkert, så enhver app havde adgang til dem.

Fire forskere fra sikkerhedsfirmaet FireEye har analyseret, hvordan smartphones sikrer de fingeraftryk, de lagrer.

Forskerne fandt flere sårbarheder. En af de mest udbredte er den, hvor en skadelig app skriver, at brugeren skal føre sin finger over skærmen for at låse den op. Men i virkeligheden opsamler appen fingeraftrykket og bruger det til at godkende en pengeoverførsel i baggrunden.

En anden sårbarhed ligger i lagringen af fingeraftryk. Forskerne opdagede, at telefonen HTC One Max lagrede billeder af fingeraftryk ukrypteret i en mappe, som alle apps har adgang til at læse. Efter de kontaktede HTC, har firmaet lukket sikkerhedshullet.

Selv når lagrede fingeraftryk er beskyttet, undlader mange producenter at beskytte adgangen til fingeraftrykslæseren. Dermed kan en skadelig app løbende aflæse de fingeraftryk, der føres hen over læseren. På den måde kan it-kriminelle opbygge databaser over brugeres fingeraftryk.

Anbefaling
Vælg smartphones fra leverandører, der løbende opdaterer softwaren. Installer kun apps fra velrenommerede udviklere.

Links

• Fingerprints On Mobile Devices: Abusing and Leaking, artikel af Yulong Zhang, Zhaofeng Chen, Hui Xue og TaoWei fra FireEye Labs