Manu Pitkänen
6. elokuuta, 2015 10:30
Tietoturvatutkijat Tao Wei ja Yulong Zhang ovat löytäneet Androidin sormenjälkilukijoihin liittyvästä ohjelmointikehyksestä haavoittuvuuden, joka käytännössä mahdollistaa puhelimen omistajan sormenjälkien kaappaamisen etänä.
Black Hat -tietoturvatapahtumassa esiteltävä haavoittuvuus on todennettu toimivan Galaxy S5:ssä sekä HTC One Maxissa. Tutkijoiden mukaan sormenjälkilukijan tuottama kuva puhelimen käyttäjän sormenjäljestä on mahdollista kaapata, koska laitevalmistajat eivät ole suojanneet lukijaa tarpeeksi tehokkaasti.
Hyökkäysmetodi ei toimi iPhone-puhelimissa. Tutkijoiden mukaan vaikka hyökkääjä pääsisikin iPhonen sormenjälkilukijaan käsiksi ja pystyisi käyttämään lukijaa, on sensorin tuottama data kuitenkin salattu kryptoavaimella, jota ilman sormenjälkeä ei saada selvitettyä.
Samainen kaksikko löysi myös muitakin järjestelmästä muitakin haavoittuvuuksia. He löysivät esimerkiksi keinon, jolla voidaan ohittaa sormenjälkitunnistus mobiilimaksun varmennuksessa.
Sormenjälkilukijoista ja muista biometrisen tunnistautumisen tavoista on tulossa yhä suositumpia mobiililaitteissa, koska salasanojen näpyttely koetaan turhan hankalaksi.