http://www.chinatimes.com/realtimenews/20150423003410-260412
三星S5大漏洞 指纹竟可被复制!
三星Galaxy S5是该公司第一款搭载指纹辨识功能的手机,之后推出的
Galaxy Note 4、Galaxy Note Edge、Galaxy S6、Galaxy S6 Edge,也
都有搭载。如果你使用以上手机,都得留心以下新闻。根据《富比士》
网站报导,三星Galaxy S5被资安网站发现,其储存指纹辨识资料的机
密区域竟有漏洞,能被骇客透过恶意程式存取。而究竟以上漏洞是否真
实存在,三星则表示仍在审查当中。
资安公司FireEye的报告指出,骇客只需要建立具有系统级权限的恶意
软件,就可以蒐集Galaxy S5当中的指纹传感器数据,透过这个方法,
骇客不需要触及设备中储存指纹资料的Trusted Zone,就可以获取指纹
资料,是一大漏洞。
透过以上方法,使用者每一次使用指纹辨识功能,启用指纹传感器的时
候,骇客都可以获取指纹资料。透过多个指纹数据,就能逆向生成指纹
样式。有了指纹资料之后,有心人士当然可以为所欲为。
针对FireEye的报告,三星方面的回应:正在审查中,并且会尽快修补
现有的任何漏洞。
FireEye发现的漏洞,相当值得关注。因为指纹具有唯一性,不同于传
统密码,是不可重置的(其他生物辨识技术,也具有同样特性),如果不
幸被窃,使用者的个资等于摊在阳光下,任人取用。令人更为担心的是
,同样的指纹漏洞会不会也同样出现在Galaxy S6、S6 Edge这类的新机
上。若要消除消费者的疑虑,只有等候FireEye或其他资安公司以及三
星的进一步调查报告了。
心得:
这是另一篇报导,http://3c.ltn.com.tw/news/17705
“此外,FireEye 表示,这个方法在任何 Android 5.1 以下的系统版
本都可行;他们也表示,三星 Galaxy S5 的资料保护尤其不严密,骇
客只需在 S5 的内存上就可以找到使用者的指纹扫瞄资料。”
虽然s5的指纹辨识之前已经被用土砲的方法破解过了(同样的方法也被
拿来破解iPhone,http://goo.gl/lxW74O ),但是这次被破解的等级完
全不一样,不是用物理方法破解,而是系统被攻破可以直接盗取trusted
zone的资料。三星应该庆幸在自家支付系统上线前被发现这个问题XD