研究人员发现了一个重磅炸弹——HTC竟然直接在Android手机上存储高分辨率的指纹图像,但却没有采纳足够的保护措施。在上周发表的白皮书中,FireEye研究人员为我们介绍了“从HTC手机中恢复图像文件”究竟有多么简单。以One Max为例,HTC竟然直接将指纹图像配置文件放在了手机存储的“ /data/dbgraw.bmp”路径下,并启用了‘world-readable’权限,这意味着任何应用程序都能够窃取用户的指纹。
更糟糕的是,每使用一次指纹传感器,存储的这部分图像就会被刷新一次,因此恶意进程可以在不被发现的情况下多次盗取图片。
万幸的是,在FireEye告知此行为相当危险之后,HTC已经修复了该问题。
FireEye还确定了另一个影响其它Android手机的攻击方式,某些恶意软件甚至可以绕开系统的防护措施,直接访问到指纹硬件。
苹果公司使用了“安全飞地”(secure enclave)来存储指纹数据,但从不保存实际图像,所以几乎难以获取扫描的指纹。(尽管某团队成功攻破iPhone并盗取了一次)
今天的新闻表明,许多手机厂商都未能严肃确保用户的生物识别特征的技术安全,因为你很难知道他们到底如何对待你的指纹数据。
未经允许不得转载:陈丹的博客 » FireEye曝光HTC One Max重大隐患:未妥善保存指纹图像数据