פרצת אבטחה במערכת ההפעלה אנדרואיד (Android) מאפשרת לפורץ לעקוף את מנגנון הנעילה הביומטרי של המכשיר. מומחים, שגילו את הבעיה בסוף השבוע האחרון, ציינו כי במכשירים הכוללים חיישן טביעות אצבע יש פרצה חמורה במיוחד, שמכעבר לכך שהיא מאפשרת גישה לנתונים הרגישים שנמצאים תחת אותה נעילה, היא גם מאפשרת לקבל ברזולוציה גבוהה את תמונת טביעת האצבע של המשתמש.
מחדל האבטחה נחשף בידי טאו ווי ויולונג זאנג, חוקרים מחברת האבטחה המקוונת FireEye שבארצות הברית. בכנס שנערך בנושא אמרו החוקרים כי ישנם כלים המאפשרים להאקרים לקבל מרחוק את תמונת טביעת האצבע של המשתמש, ומבלי שירגיש בכך. למחדל האבטחה הזה יש השלכות חמורות, שכן באמצעות תמונת טביעת האצבע יכול ההאקר לעקוף מנגנוני אבטחה רבים, מנגנונים שיתכן שיאומצו בעתיד הקרוב גם על ידי הרשויות, לדוגמה בתעודות זהות ובדרכונים חכמים. בעוד שאת הססמאות ניתן תמיד להחליף כשיש חשש לדליפה, את טביעת האצבע הרי אי אפשר, מה שחושף את הקורבן לשארית זמן השימוש שלו במכשיר.
בעוד שבמכשירי אפל (Apple) נתוני טביעת האצבע מאוחסנים בצורה מוצפנת, עומדים מכשירי האנדרואיד בסיכון. החוקרים הוכיחו כי ניתן לאסוף את תמונת טביעת האצבע במכשיר ה-HTC One Max ו-Samsung Galaxy S5 אך ככל הנראה ניתן לעשות זאת במכשירי אנדרואיד נוספים הכוללים חיישן ביומטרי. עוד ציינו כי מכשירים שבוצעה בהם פריצת Root עומדים בסכנה גבוהה יותר.
החוקרים מסבירים כי לא רק טלפונים וטאבלטים נמצאים תחת האיום, וכי יש חשש כי גם מחשבים ניידים עלולים להיות חשופים. על כן הם ממליצים להשתמש במכשירים המתעדכנים באופן שוטף ולהימנע מהורדת אפליקציות ממקורות לא מזוהים.
עם כל הכבוד לחיישן טביעת האצבע זה לא באמת נחוץ..
הייתי מוותר אליו בשביל רמקול יותר טוב, מצלמה יותר טובה, פלש יותר טוב, חריץ לכרטיס זיכרון ועוד הרבה דברים..
בשבוע האחרון? הידיעה לגבי ה-S5 בת יותר מארבעה חודשים, והמחדל הרציני הוא של ה-One Max שבו התמונה נשמרה בצורה בלתי מוצפנת בכלל.
http://www.forbes.com/sites/thomasbrewster/2015/04/21/samsung-galaxy-s5-fingerprint-attacks/
http://www.theverge.com/2015/8/10/9126027/htc-fingerprint-scanner-vulnerability-one-max
בדיוק מהסיבה הזו גוגל לא הטמיעה חיישן טביעות אצבע באף נקסוס: מערכת ההפעלה לא מטפלת בזה עדיין.
אני מאמין שמכשירים בגרסא החדשה (M) לא יהיו חשופים לפגיעה זו כי כל תהליך הקריאה והאימות יתבצע מאחורי מערכת ההפעלה כך שגם באנדרואיד המידע יהיה מוצפן ולא זמין לגורמי צד שלישי