Smartphone HTC armazena impressões digitais em texto plano

Uma das formas mais simples de desbloquear a tela de um telefone celular é o uso de impressões digitais. Basta um toque de seu dedo em um scanner incorporado ao aparelho, e você tem acesso às funções do smartphone. Por isso, cada vez mais fabricantes tem incorporado essa tecnologia em seus dispositivos. Prevê-se que até o ano de 2019, mais de 50% de todos os smartphones terão um scanner de impressões digitais embutido.

Uma impressão digital, ao contrário de uma senha, não pode ser simplesmente “alterada’. Por isso, se for comprometida de alguma forma, o acesso ao aparelho pode até ser perdido para sempre, a menos que seja realizada alguma operação altamente intrusiva no aparelho. Por isso, essa tecnologia precisa funcionar com extrema precisão e um nível alto de segurança.

Pois bem: os pesquisadores Yulong Zhang, Zhaofeng Chen, Hui Xue, e Tao Wei, da empresa de segurança FireEye, com sede na Califórnia, EUA, fizeram um estudo para testar o nível de segurança da tecnologia de impressões digitais em vários modelos de smartphones Android, e obtiveram resultados alarmantes.

Eles descobriram que é possível enganar uma vítima e conseguir autorização para a realização de transações mal-intencionadas, e também que invasores podem incorporar de forma furtiva impressões digitais pré-fabricadas nos dispositivos, usando um backdoor de autorização. Além disso, os pesquisadores também descobriram vulnerabilidades na forma como os apaerlhos armazenam as impressões digitais.

Smartphone HTC - impressões digitais em texto plano

De acordo com eles “Enquanto alguns fornecedores alegaram que eles armazenam as impressões digitais do usuário criptografadas em uma partição de sistema, os fabricantes na verdade armazenaram as impressões digitais dos usuários em texto simples e as colocaram em um local legível por qualquer um, por engano”. Uau!

Ainda de acordo com o que os pesquisadores relataram na conferência Black Hat USA 2015:

“Um exemplo é o smartphone HTC One Max – nesse aparelho a impressão digital é salva como arquivo /data/dbgraw.bmp com permissão de acesso 0666 (rw-rw-rw-, legível por qualquer um!). Quaisquer processos ou aplicativos, mesmo sem privilégios, podem roubar as impressões digitais do usuário ao ler este arquivo. Outros fornecedores armazenam as impressões digitais em TrustZone ou ainda em Secure Enclave, mas ainda são conhecidas vulnerabilidades que os atacantes podem usar para espreitar o mundo secreto (do usuário).”

Não há muito o que possa ser feito por parte dos usuários contra esses tipos de ataques, pois quem tem de melhorar o nível de segurança do framework de autenticação dos aparelhos são os fabricantes.

Clicando aqui você pode visualizar slides da apresentação citada com exemplos desses ataques (em inglês).

Fonte: Net Security

 

Sobre Fábio dos Reis (1372 Artigos)
Fábio dos Reis trabalha com tecnologias variadas há mais de 25 anos, tendo atuado nos campos de Eletrônica, Telecomunicações, Programação de Computadores e Redes de Dados. É um entusiasta de Unix, Linux e Open Source em geral, adora Eletrônica e Música, e estuda idiomas, além de ministrar cursos e palestras sobre diversas tecnologias em São Paulo e outras cidades do Brasil.
Contato: Website

Escreva um comentário

Seu e-mail não será divulgado


*