Δύο ερευνητές της FireEye έχουν ανακαλύψει έναν νέο τρόπο για να κλέψουν τα δακτυλικά αποτυπώματα ττων χρηστών των Android smartphone απομακρυσμένα εν αγνοία τους και φυσικά χωρίς τη συγκατάθεσή τους.
Οι ερευνητές Tao Wei και Yulong Zhang ανακάλυψαν τέσσερις νέους τρόπους για να επιτεθούν στις Android συσκευές και να υποκλέψουν τα δακτυλικά αποτυπώματα του χρήστη. Οι ερευνητές θα αποδείξουν το exploit τους στο Black Hat conference που θα πραγματοποιηθεί στο Las Vegas την επόμενη εβδομάδα.
Οι ερευνητές δήλωσαν ότι μόνο τα smartphones που έχουν fingerprint scanners είναι ευάλωτα.
Από τις τέσσερις επιθέσεις που περιγράφονται από τους ερευνητές, μια ιδιαίτερα – που ονομάστηκε “fingerprint sensor spying attack” – μπορεί να συλλέξει εξ’ αποστάσεως δακτυλικά αποτυπώματα σε μεγάλη κλίμακα, δήλωσε ο Zhang.
Οι ερευνητές επιβεβαίωσαν ότι το exploit ‘δούλεψε’ στο HTC One Max και το Samsung Galaxy S5, επιτρέποντας στον χάκερ να αποκτήσει ύπουλα μια εικόνα των δακτυλικών αποτυπωμάτων από μια επηρεασμένη συσκευή, κι αυτό γιατί οι κατασκευαστές των συσκευών δεν κλειδώνουν πλήρως τον αισθητήρα.
Είναι ιδιαίτερα τρομακτικό το γεγονός πως, αφού ο χάκερ κατάφερε να αποκτήσει πρόσβαση μέσω της επίθεσης, ο αισθητήρας των δακτυλικών αποτυπωμάτων συνέχισε να συλλέγει ήσυχα τα fingerprint data για όποιον χρησιμοποιούσε την συσκευή, και τα έστελνε απομακρυσμένα πίσω στον χάκερ, παρέχοντάς του έτσι έναν απίστευτο όγκο δεδομένων.
«Σε αυτήν την επίθεση, τα fingerprint data των θυμάτων πέφτουν απευθείας στο χέρι των κακόβουλων χάκερς. Για το υπόλοιπο της ζωής του θύματος, ο εισβολέας θα μπορεί να χρησιμοποιεί τα βιομετρικά του δεδομένα με σκοπό να πραγματοποιήσει άλλες κακόβουλες ενέργειες εις βάρος του.», δήλωσε ο Ζανγκ.
Τρομακτικό δεν είναι;