האקרים הצליחו לפצח סורקי טביעת אצבע בסמארטפונים

האקרים הציגו במהלך כנס Black Hat בסוף השבוע שיטה לגניבת טביעות אצבע מטלפונים סלולריים. השיטה שהוצגה במסגרת מחקר של FireEye קובע שההטמעה של קוראי טביעות אצבע במכשירי אנדרואיד בוצעה ללא דאגה לרמת אבטחה נאותה - מה שחושף את המשתמשים לפריצה.

רוצים לקבל את כל חדשות הדיגיטל והדברים הכי ויראליים ברשת? עשו לנו לייק בפייסבוק

החוקרים טענו שהשיטה אומתה על גבי מכשירי סמסונג גלקסי S5 ו-HTC One Max. עם זאת הוסבר שהפרצה קיימת בכל מכשירי האנדרואיד בהם הוטמע קורא טביעות אצבע - וואווי, סמסונג ו-HTC. גרוע מכך, מנגנון קריאת טביעות האצבע הוטמע ללא הרשאות ROOT מה שהופך את הפריצה אליו להרבה יותר פשוטה. למעשה, פריצה של המכשיר לקבלת הרשאות אדמין (ג'יילברייק) מקלה על ההאקרים שמעוניינים לפרוץ למכשיר לאיסוף טביעות האצבע.

החוקרים, טאו וואי ויולונג ז'אנג הראו שכל עוד ההאקר הצליח לחדור למכשיר - הוא יקבל את טביעות האצבעות למשך כל זמן השימוש במכשיר. טביעות אצבע הפכו לאמצעי זיהוי ביומטרי פופולרי מאוד. עד כה הם שימשו רק לשם פתיחת המכשיר - אך כבר עכשיו המטרה היא להפוך אותם לאמצעי זיהוי עבור ארנקים אלקטרוניים וגישה לאתרים במקום שימוש בסיסמה ושם משתמש.

ומה על המאגר הביומטרי?

טביעות האצבעות גם הפכו לאמצעי לניהול מדיניות הגירה, פעילות משטרתית ובתעודות זהות. גם בישראל אמור המאגר הביומטרי של הממשלה להתבסס על טביעות אצבעות והיכולת של האקרים לגנוב אותן ממכשירים של אזרחים עלול לגרום לכך שגורמים עוינים או פליליים ינצלו אותן לשם הונאה של הרשויות. החוקרים עוד ציינו שלמרות שהפריצה יכולה להתבצע גם במכשירי אייפון, טביעת האצבע עצמה מוצפנת במכשירי אפל כך שההאקר לא יוכל להשתמש בה ללא מפתח ההצפנה.

עוד ציינו החוקרים שהפרצה אינה רק בעיה של סמארטפונים - אלא גם של מחשבים ניידים וטאבלטים המצויידים בקוראי טביעות אצבע. עד כה הועברו פרטי הפרצה לכל הגורמים כולל גוגל, וקיים כבר עדכון שחוסם את הבעיה. אך מכיוון שמדיניות העדכונים של מכשירי האנדרואיד לא תלויה רק ביצרנים או בגוגל, יכול מאוד להיות שזמן רב יעבור עד שכל המכשירים בשוק יטופלו.

הופיע לראשונה בכלכליסט