Proponha uma correção, faça uma sugestão
Leitores de impressões digitais do Android têm pouca segurança
A utilização de leitores de impressões digitais têm-se tornado uma realidade cada vez mais comum nos novos smartphones. Depois da Apple ter introduzido o TouchID várias foram as marcas que lhe seguiram o exemplo.
Mas estes novos mecanismos de segurança, para além de serem úteis, trazem também novos problemas. Investigadores provaram agora que os leitores de impressões digitais usados no Android são propensos a falhas graves de segurança.
Dois investigadores da empresa FireEye preparam-se para apresentar na conferência Black Hat um estudo onde mostram que os leitores de impressões digitais no Android são simples de atacar e que podem facilmente libertar os dados dos utilizadores.
São varias as formas que criaram para conseguir roubar os dados das impressões digitais dos utilizadores, revelando as fragilidades que estes sistemas têm.
Uma das maiores falhas que encontraram nestes mecanismos é a falta de uma protecção eficaz dos dados que os leitores recebem quando são utilizados.
Com este ataque é possível recolher imagens das impressões digitais dos utilizadores, que depois podem ser usadas mais tarde para conseguir aceder ao próprio Android, de forma que os utilizadores não detectam.
Em vez de recorrerem a uma protecção real, com mecanismos de root, estes sensores utilizam apenas permissões e privilégios específicos do Android para protegerem as imagens das impressões digitais.
Esta forma de protecção pode ser facilmente contornada se os dispositivos tiverem root feito, o que facilita o acesso dos atacantes a zonas mais fechadas do Android.
Uma vez que tenham acesso aos dados biométricos dos utilizadores os atacantes podem usá-los onde e quando quiserem. Também a recolha destes dados pode ser feita durante muito tempo e nos vários utilizadores que usarem os sensores, sem que estes tenham estar noção de estarem a ser recolhidos.
Apesar de não referirem qualquer marca em particular e quais os menos seguros, é simples perceber que estes problemas estão presentes no equipamentos da Samsung, HTC e Huawei, por serem os principais fabricantes que têm no mercado smartphones com estes sensores.
As falhas foram comunicadas aos fabricantes onde estes problemas se manifestaram, que trataram de as resolver e aumentar a segurança dos leitores de impressões digitais e dos dados biométricos recolhidos.
Os investigadores fizeram também uma avaliação ao sistema da Apple e concluíram que este é muito mais seguro que os do Android.
O facto de cifrar os dados ainda no leitor consegue dar uma camada de segurança difícil de bater. Mesmo que os dados sejam roubados, sem a chave usada para a cifra é impossível aceder aos dados.
Via ZDNet
Este artigo tem mais de um ano
Loading ...
Isto assumindo que as pessoas fazem root, o que a maior parte não é verdade. Ainda assim não é nada bom.
Já me perguntava se estes telefones que estão a sair sem Android M (com suporte a impressão digital) se teriam alguma segurança. Também será interessante perceber que tipo de segurança trará o Android M a este nível quando esses telefones fizerem a actualização.
A questão do root é apenas mais um pormenor, apenas torna ainda mais fácil o aproveitamento das vulnerabilidades. O grande problema está principalmente no hardware que não protege a informação de forma independente do sistema operativo.
Donde é que tiraste que os sensores só podem ser atacados se as pessoas fizerem root?
O que a fonte diz é: “Para piorar as coisas , o sensor em alguns dispositivos só é guardado pelo “sistema” privilégio em vez da root, tornando-o mais fácil de atingir. (Por outras palavras fazer root ou jailbreak pode deixá-lo num risco maior)”
Em alguns dispositivos o risco é maior se fizerem root. Não diz que sem root o risco não existe.
No texto:
“Esta forma de protecção pode ser facilmente contornada se os dispositivos tiverem root feito, o que facilita o acesso dos atacantes a zonas mais fechadas do Android.”
A proteção por “sistema de privilégio” – a mais deficiente e a que existe em alguns equipamentos. A ideia que querem dar é que nesse caso, quando se faz root é tiro e queda – a vulnerabilidade fica fácil de explorar.
Mas não se limita a esses casos, nem à existência de root.
Eu uso android mas tenho a consciência que é um sistema completamente inseguro.
Mas muitas discussões aqui vertem apenas para quanto a ultima versão do android no meu telemóvel, mas não quando é que muda esta política de fragmentação e sejam lançados patch de segurança independentemente da marca/versão/sabor.
Aqui está o risco, não é se o meu leva o L ou o M.
É isso mesmo infelizmente. Fica aqui um texto interessante acerca de outro problema de segurança:
http://www.theverge.com/2015/8/5/9099627/google-stagefright-android-vulnerability-protect-patch
o mac/apple teve más notícias esta semana? então melhor espalhar um pouco de FUD para android
Notaste o título do artigo: “Hackers can remotely steal fingerprints from Android phones”
E quanto ao iPhone, em que o ataque remoto está fora de questão: “Even if the attacker can directly read the sensor, without obtaining the crypto key, [the attacker] still cannot get the fingerprint image,”
Se pagarem, certamente a Apple explica como se faz.
Enganei-me no mail das credenciais 🙂
Ainda assim o problema não é necessariamente do Android em si pois este não tem suporte a impressão digital. Diria que é um problema dos fabricantes que quiseram avançar mais depressa do que deviam. Resta saber o que faz o Android M nesta área, não encontrei muitos detalhes.
FUD?
Isto é óbvio, é claro que se consegue roubar impressões digitais do Android.
ESTÃO NA MEMÒRIA DO TELEMÒVEL!
Já no iPhone 5S/6, estão num enclave que o processador principal não consegue aceder, e o microcontrolador do TouchID é que lê essa memória, e que comunica com o CPU se deu certo ou errado.
Maneira mais cara, mas inviolável.
Não é inviolável, diz antes mais difícil. Nada é inviolável no que toca a informática.
Em relação a Samsung, penso que seja mais segura que as outras marcas com Android, pois esses dados estão protegidos pelo Knox (sistema com provas dadas), mas… Como tudo violável.
A forma como o TouchID está montado torna impossível o acesso através do Sistema Operativo, pois o próprio sensor encripta os dados que são guardados em hardware especializado que processa a análise. O processador não tem como ter acesso aos dados ou ao processo.
Qualquer método de hack a estes dados terá que aceder directamente ao hardware, isto é, terá que abrir o aparelho e ter o engenho para de alguma forma apanhar a troca de dados e ainda descobrir as chaves criptográficas do hardware.
O Knox não protege o sensor dos Galaxy!
Não costumo entrar em conversas, digo o meu ponto e basta, mas tudo é violável basta ter tempo.
Não disse que não era seguro, mas não é inviolável.
Sim, o Knox protege a informação do sensor. Pelo menos fui o que li.
O Knox não protege a informação do sensor, o sensor é que pode ser usado para desbloquear a informação guardada pelo Knox. De tal forma que o que as vulnerabilidades que são apresentadas aplicam-se também ao Galaxy S5 que tem Knox.
Quanto ao inviolável/violável, é inviolável a partir de mero software e do sistema operativo, o que torna o acesso no iPhone logo à partida bastante impraticável.
O iOS não lê o que o touchid faz? Senão como desbloqueia, apesar de a informação estar guardada num parte do hardware tem que haver software que lê essa informação, logo é violável, basta teres tempo e dinheiro que tudo se faz.
Em relação ao Knox pensei mesmo que essa informação estava protegida por ele. Sendo assim não é tão seguro como pensava.
O TouchID funciona à parte do iOS, tendo o seu próprio firmware e encriptação a correr em hardware especializado não acessível ao processador em que corre o iOS.
Para desbloquear o TouchID apenas necessita de comunicar a validação da impressão, não precisa de mostrar o seu funcionamento ou os dados guardados ao resto do sistema.
Por isso não há como uma aplicação a correr no iOS leia o que se passa no sensor!
É inviolável na prática.
Porque é uma RAM, e se tentares lá ir, acontece que perdes os dados..
Knox com provas dadas? De ser falível… com tanta gente que lhe deu a volta…
LOL “INVIOLÁVEL” até me ri alto.
Tudo é violável. Depende apenas do tempo/custo que estás disposto a gastar.
No caso do iphone lembra-te: basicamente cada jailbreak que todos celebram é um “exploit para root” que vês nas notícias do android com conotação negativa
Sabes lá do que falas…
O Jailbreak quebra medidas de segurança do iOS mas a segurança dos dados do TouchID funciona fora do iOS, usa hardware criptográfico especializado. O sistema operativo não tem aceder a esses dados nem ao processo de validação.
nem eu disse o contrário.
O que disse é: cada jailbreak é um “root” e que tudo é violável, dependendo do tempo e dinheiro que tenhas para dispender.
O facto da estratégia da Apple na protecção das impressões digitais só o torna mais difícil de conseguir, mas não impossivel
Quiseste implicar o contrário ao vir com o assunto do jailbreak!
Se não é possível via software, a alternativa teórica é impraticável, e até prova em contrário impossível.
Enfim…
Não tens mais nada para fazer?
Não tem mal, ninguém usa “touchid” boa Android.
ShitDroid
DIGIDROID! xD
e em relação ao IRIS dos novos Lumia?
E esta conversa toda … porque em 2012 a Apple comprou a AuthenTec que estava ,nem mais nem menos, que a desenvolver um sensor de impressões digitais para a Motorola – que na altura já tinha sido comprada pela Google.
A história já foi contada, mas ficou a dúvida se a cova nas costas do Nexus 6, que foi preenchida com o símbolo da Motorola, era mesmo para o leitor de impressões digitais da AuthenTec ou não. Confirmou-se que sim:
http://phandroid.com/2015/08/05/nexus-6-fingerprint-scanner-prototype/
Como disse o ex-CEO da Motorola da altura sobre o Nexus 6: “The secret behind that is that it was supposed to be fingerprint recognition, and Apple bought the best supplier [AuthenTec]. So the second best supplier was the only one available to everyone else in the industry and they weren’t there yet,”
http://www.techradar.com/news/phone-and-communications/mobile-phones/how-apple-killed-the-nexus-6-s-fingerprint-scanner-1282063
E foi assim que a Apple ganhou avanço. Autenticamente deixaram fugir o pássaro da mão. Depois tiveram que correr atrás do prejuízo.
E esta conversa toda … porque em 2012 a Apple comprou a AuthenTec que estava ,nem mais nem menos, que a desenvolver um sensor de impressões digitais para a Motorola – que na altura já tinha sido comprada pela Google.
A história já foi contada, mas ficou a dúvida se a cova nas costas do Nexus 6, que foi preenchida com o símbolo da Motorola, era mesmo para o leitor de impressões digitais da AuthenTec ou não. Confirmou-se que sim:
http://phandroid.com/2015/08/05/nexus-6-fingerprint-scanner-prototype/
Como disse o ex-CEO da Motorola da altura sobre o Nexus 6: “The secret behind that is that it was supposed to be fingerprint recognition, and Apple bought the best supplier [AuthenTec]. So the second best supplier was the only one available to everyone else in the industry and they weren’t there yet,”
http://www.techradar.com/news/phone-and-communications/mobile-phones/how-apple-killed-the-nexus-6-s-fingerprint-scanner-1282063
E foi assim que a Apple ganhou avanço. Autenticamente deixaram fugir o pássaro da mão. Depois tiveram que correr atrás do prejuízo.