文章
  • 文章
科技

公司未加密指纹数据

智能手机制造商HTC一直将其用户的指纹存储在任何黑客都可以轻松访问的未加密文件中。

安全公司FireEye最近发表的一篇论文中提出的这一发现引发了人们对快速过渡到使用指纹作为主要识别形式的担忧。

广告

该缺陷影响了HTC One Max,这是一款近两年的设备,依靠指纹扫描仪允许用户解锁手机或授权各种支付或货币交易。

“虽然一些供应商声称他们存储了在系统分区中加密的用户指纹,但他们错误地将用户的指纹放在明文和世界可读的地方,”报告说。 “任何无特权的流程或应用都可以通过阅读此文件来窃取用户的指纹。”

从本质上讲,黑客可以在手机上放置一个应用程序,每次使用时都会抓取指纹图像,从而在此过程中创建更清晰的图像。

设备越来越依赖于指纹扫描仪。 生物特征数据因其独特性而被视为更安全的识别方法。 此外,传统的密码 - 虽然仍然无处不在 - 被认为是 。

较新的iPhone都有指纹扫描仪,最畅销的三星Galaxy系列的后续型号也是如此。

然而,这些过渡到指纹认证的早期尝试一直不稳定。 研究人员已经证明,指纹可以直接从智能手机屏幕上提起。

最近的FireEye研究揭示了另一套指纹未被保护的方法。 由于指纹(与密码不同)永远不会改变,并且通常与重要的公民和移民记录挂钩,因此调查结果特别令人担忧。

“受害者可以轻松地用新密码替换被盗密码。 但指纹持续了一生 - 一旦泄露,它们就会在你的余生中泄露,“研究人员说。

该报告称在其他手机中发现了类似的缺陷,例如三星Galaxy S5,但没有详细说明。

在研究发布之前,所有供应商都修补了他们的不足之处。