HTC:n sormenjälkisensorin suojaus petti – myös Galaxy S5:ssä ongelmia

3
Valtteri Ahonen

HTC:n sormenjälkisensorin suojaus petti – myös Galaxy S5:ssä ongelmia
Tietoturvayhtiö FireEye Labsin mukaan HTC One Max -puhelimen sormenjälkisensori varastoi sormenjäljet puhelimeen suojaamattomina ennen julkaistua korjauspäivitystä.

Hyvällä omallatunnolla melko merkittäväksi kutsuttu ongelma on ollut olemassa puhelimen julkaisusta saakka, eli jo pari vuotta. Vielä ei ole tiedossa, ovatko jotkin haittaohjelmat hyödyntäneet puhelimen "ominaisuutta". Teoriassa sormenjälkien varastaminen on ollut haitallisella koodilla helppoa suojauksen puuttuessa.

FireEye mainitsee raportissaan nimeltä nimenomaan HTC One Maxin, mutta ilmeisesti samankaltainen ongelma saattaa piillä myös muissa puhelimissa, jotka on varustettu sormenjälkilukijalla. Raportissa kerrotaan myös, että sormenjälkilukijoiden itsensä suojaus on ollut paikoin puutteellinen ja saattanut mahdollistaa sormenjäljen luvun skannauksen aikana. Tässä kohtaa raportissa mainitaan myös Samsung Galaxy S5. Kaikkien tutkittujen mallien ongelmat on korjattu päivityksellä FireEyen ilmoitettua niistä valmistajille. Aiheesta uutisoi The Guardian.


Tilaa Puhelinvertailun uutiskirje!

Lähetämme noin kerran viikossa uutiskirjeen, joka sisältää viikon ajalta tärkeimmät uutisemme.

Tilaamalla uutiskirjeemme hyväksyt sääntömme ja tietosuojakäytäntömme.

Parhaat kännykkätarjoukset

HMD Pulse+ – hinta laskenut -37%

Oppo Reno10 – hinta laskenut -35%

Oppo Reno10
179 € DNA
275 € Summ

Alin hinta viikko sitten: 275 €

Honor 200 Smart – hinta laskenut -34%

Honor 200 Smart
99 € Veikon Kone
99 € Power
149 € Verkkokauppa.com

Alin hinta viikko sitten: 149 €

Honor X8a – hinta laskenut -30%

Honor X8a
69 € DNA

Alin hinta viikko sitten: 99 €

Kommentit (3)

ZZboy
ZZboy

1

Hmmm, kyllä nuo ongelmat ovat olleet tiedossa jo pitkän aikaa. Ainakin pankit ovat lähettäneet siitä viestiä: "Sormenjälkitunnistus ominaisuus ei ole tarpeeksi turvallinen Android puhelimissa, emme suosittele sen käyttöä". Tuo tuli Standard Chartered pankista muistaakseni jo viime marraskuussa.

Vastaa
Anonyymi käyttäjä
user@org (vahvistamaton)

2

Lainaus, alkuperäisen viestin kirjoitti ZZboy:

Hmmm, kyllä nuo ongelmat ovat olleet tiedossa jo pitkän aikaa. Ainakin pankit ovat lähettäneet siitä viestiä: "Sormenjälkitunnistus ominaisuus ei ole tarpeeksi turvallinen Android puhelimissa, emme suosittele sen käyttöä". Tuo tuli Standard Chartered pankista muistaakseni jo viime marraskuussa.


Pankin marmoritiskillä, automaatin näppiksellä jne. se asiakkaan sormenjälki on selkokielisenä, eli siinä mielessä sormenjäljellä ei suurta yksityisyyttä.

Sitä en tiedä miksi mainitsemsi pankki ei suosittele luurissa sormenjälkitunnistuksen käyttöä, ei varmaan yleis ohje, olisko työntekijöille ? no silloin luulisi että keskitetysti homma hoidetaan, niin ettei käyttäjä itse valitse mitä ja miten.

Lainaus:

Hyvällä omallatunnolla melko merkittäväksi kutsuttu ongelma on ollut olemassa puhelimen julkaisusta saakka, eli jo pari vuotta. Vielä ei ole tiedossa, ovatko jotkin haittaohjelmat hyödyntäneet puhelimen "ominaisuutta". Teoriassa sormenjälkien varastaminen on ollut haitallisella koodilla helppoa suojauksen puuttuessa.

Onko tässä nyt oikeasti helppo menetelmä millä sormejäljen saa tuolta kaivettua (vasrastettu), ja keikenlisäksi helposti.

Tyypillisesti tämäntyyppisissa toteutuksissa se sormenjälki ei ole ollut selkokielinen ja siitä vaikea, ellei mahdoton tehdä tunnistettavaa sormenjälkeä , verrattuna esim virvoitusjuomatölkistä saatavaan.

Vastaa
ZZboy
ZZboy

3

Lainaus, alkuperäisen viestin kirjoitti user@org:

Lainaus, alkuperäisen viestin kirjoitti ZZboy:

Hmmm, kyllä nuo ongelmat ovat olleet tiedossa jo pitkän aikaa. Ainakin pankit ovat lähettäneet siitä viestiä: "Sormenjälkitunnistus ominaisuus ei ole tarpeeksi turvallinen Android puhelimissa, emme suosittele sen käyttöä". Tuo tuli Standard Chartered pankista muistaakseni jo viime marraskuussa.


Pankin marmoritiskillä, automaatin näppiksellä jne. se asiakkaan sormenjälki on selkokielisenä, eli siinä mielessä sormenjäljellä ei suurta yksityisyyttä.

Sitä en tiedä miksi mainitsemsi pankki ei suosittele luurissa sormenjälkitunnistuksen käyttöä, ei varmaan yleis ohje, olisko työntekijöille ? no silloin luulisi että keskitetysti homma hoidetaan, niin ettei käyttäjä itse valitse mitä ja miten.

Lainaus:

Hyvällä omallatunnolla melko merkittäväksi kutsuttu ongelma on ollut olemassa puhelimen julkaisusta saakka, eli jo pari vuotta. Vielä ei ole tiedossa, ovatko jotkin haittaohjelmat hyödyntäneet puhelimen "ominaisuutta". Teoriassa sormenjälkien varastaminen on ollut haitallisella koodilla helppoa suojauksen puuttuessa.

Onko tässä nyt oikeasti helppo menetelmä millä sormejäljen saa tuolta kaivettua (vasrastettu), ja keikenlisäksi helposti.

Tyypillisesti tämäntyyppisissa toteutuksissa se sormenjälki ei ole ollut selkokielinen ja siitä vaikea, ellei mahdoton tehdä tunnistettavaa sormenjälkeä , verrattuna esim virvoitusjuomatölkistä saatavaan.

Joku taho oli testannut noita sormenjälkitunnistimia Hong Kongissa ja tullut siihen tulokseen, ettei ne täytä pankkien turvasäännöksiä. Varoitus oli tarkoitettu, sekä sovelluskehittelijöille, että käyttäjille, tyyliin "Ei kannata uskoa, että ne parantaa turvallisuutta, päinvastoin". Pankeillahan on omia sovelluksia jotka voidaan ladata pankin omilta sivuilta ja niillä voi tehdä kaikenlaista. Myös WeChatillä voi ostaa ja maksaa. Ongelma on siinä, että Android puhelimet tallentavat sormenjäljen joka voidaan sitten varastaa ja sen jälkeen pankkia voi käyttää mistä tahansa puhelimesta. Vielä suurempi ongelma on käyttäjätietojen varastaminen, silloin voit esiintyä poliisina tai pankkineitinä ja keplotella ihmisiltä jopa 70 miljoonaa, niin kuin uutisista on saanut lukea.

Vastaa

Kommentoi artikkelia

Pysy aiheessa ja kirjoita asiallisesti. Epäasialliset viestit voidaan poistaa tai niitä voidaan muokata toimituksen harkinnan mukaan.

Haluan ilmoituksen sähköpostitse, kun ketjuun kirjoitetaan uusi viesti.