PplWare Mobile

Leitores de impressões digitais do Android têm pouca segurança

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. Bruno Gonçalves says:

    Isto assumindo que as pessoas fazem root, o que a maior parte não é verdade. Ainda assim não é nada bom.
    Já me perguntava se estes telefones que estão a sair sem Android M (com suporte a impressão digital) se teriam alguma segurança. Também será interessante perceber que tipo de segurança trará o Android M a este nível quando esses telefones fizerem a actualização.

    • JBM says:

      A questão do root é apenas mais um pormenor, apenas torna ainda mais fácil o aproveitamento das vulnerabilidades. O grande problema está principalmente no hardware que não protege a informação de forma independente do sistema operativo.

    • Benchmark do iPhone 6 says:

      Donde é que tiraste que os sensores só podem ser atacados se as pessoas fizerem root?

      O que a fonte diz é: “Para piorar as coisas , o sensor em alguns dispositivos só é guardado pelo “sistema” privilégio em vez da root, tornando-o mais fácil de atingir. (Por outras palavras fazer root ou jailbreak pode deixá-lo num risco maior)”

      Em alguns dispositivos o risco é maior se fizerem root. Não diz que sem root o risco não existe.

      • Bruno Gonçalves says:

        No texto:

        “Esta forma de protecção pode ser facilmente contornada se os dispositivos tiverem root feito, o que facilita o acesso dos atacantes a zonas mais fechadas do Android.”

        • Benchmark do iPhone 6 says:

          A proteção por “sistema de privilégio” – a mais deficiente e a que existe em alguns equipamentos. A ideia que querem dar é que nesse caso, quando se faz root é tiro e queda – a vulnerabilidade fica fácil de explorar.

          Mas não se limita a esses casos, nem à existência de root.

  2. sniperpt says:

    Eu uso android mas tenho a consciência que é um sistema completamente inseguro.

    Mas muitas discussões aqui vertem apenas para quanto a ultima versão do android no meu telemóvel, mas não quando é que muda esta política de fragmentação e sejam lançados patch de segurança independentemente da marca/versão/sabor.

    Aqui está o risco, não é se o meu leva o L ou o M.

  3. daiquiri says:

    o mac/apple teve más notícias esta semana? então melhor espalhar um pouco de FUD para android

    • Benchmark do iPhone 6 says:

      Notaste o título do artigo: “Hackers can remotely steal fingerprints from Android phones”

      E quanto ao iPhone, em que o ataque remoto está fora de questão: “Even if the attacker can directly read the sensor, without obtaining the crypto key, [the attacker] still cannot get the fingerprint image,”

      Se pagarem, certamente a Apple explica como se faz.

      • Benchmark do iPhone 6 says:

        Enganei-me no mail das credenciais 🙂

      • Bruno Gonçalves says:

        Ainda assim o problema não é necessariamente do Android em si pois este não tem suporte a impressão digital. Diria que é um problema dos fabricantes que quiseram avançar mais depressa do que deviam. Resta saber o que faz o Android M nesta área, não encontrei muitos detalhes.

    • Baptista Batos says:

      FUD?

      Isto é óbvio, é claro que se consegue roubar impressões digitais do Android.

      ESTÃO NA MEMÒRIA DO TELEMÒVEL!

      Já no iPhone 5S/6, estão num enclave que o processador principal não consegue aceder, e o microcontrolador do TouchID é que lê essa memória, e que comunica com o CPU se deu certo ou errado.

      Maneira mais cara, mas inviolável.

      • piri_vm says:

        Não é inviolável, diz antes mais difícil. Nada é inviolável no que toca a informática.
        Em relação a Samsung, penso que seja mais segura que as outras marcas com Android, pois esses dados estão protegidos pelo Knox (sistema com provas dadas), mas… Como tudo violável.

        • JBM says:

          A forma como o TouchID está montado torna impossível o acesso através do Sistema Operativo, pois o próprio sensor encripta os dados que são guardados em hardware especializado que processa a análise. O processador não tem como ter acesso aos dados ou ao processo.
          Qualquer método de hack a estes dados terá que aceder directamente ao hardware, isto é, terá que abrir o aparelho e ter o engenho para de alguma forma apanhar a troca de dados e ainda descobrir as chaves criptográficas do hardware.
          O Knox não protege o sensor dos Galaxy!

          • piri_vm says:

            Não costumo entrar em conversas, digo o meu ponto e basta, mas tudo é violável basta ter tempo.
            Não disse que não era seguro, mas não é inviolável.
            Sim, o Knox protege a informação do sensor. Pelo menos fui o que li.

          • JBM says:

            O Knox não protege a informação do sensor, o sensor é que pode ser usado para desbloquear a informação guardada pelo Knox. De tal forma que o que as vulnerabilidades que são apresentadas aplicam-se também ao Galaxy S5 que tem Knox.

          • JBM says:

            Quanto ao inviolável/violável, é inviolável a partir de mero software e do sistema operativo, o que torna o acesso no iPhone logo à partida bastante impraticável.

          • piri_vm says:

            O iOS não lê o que o touchid faz? Senão como desbloqueia, apesar de a informação estar guardada num parte do hardware tem que haver software que lê essa informação, logo é violável, basta teres tempo e dinheiro que tudo se faz.

            Em relação ao Knox pensei mesmo que essa informação estava protegida por ele. Sendo assim não é tão seguro como pensava.

          • JBM says:

            O TouchID funciona à parte do iOS, tendo o seu próprio firmware e encriptação a correr em hardware especializado não acessível ao processador em que corre o iOS.
            Para desbloquear o TouchID apenas necessita de comunicar a validação da impressão, não precisa de mostrar o seu funcionamento ou os dados guardados ao resto do sistema.
            Por isso não há como uma aplicação a correr no iOS leia o que se passa no sensor!

        • Baptista Batos says:

          É inviolável na prática.

          Porque é uma RAM, e se tentares lá ir, acontece que perdes os dados..

          Knox com provas dadas? De ser falível… com tanta gente que lhe deu a volta…

      • daiquiri says:

        LOL “INVIOLÁVEL” até me ri alto.
        Tudo é violável. Depende apenas do tempo/custo que estás disposto a gastar.

        No caso do iphone lembra-te: basicamente cada jailbreak que todos celebram é um “exploit para root” que vês nas notícias do android com conotação negativa

        • Baptista Batos says:

          Sabes lá do que falas…

        • JBM says:

          O Jailbreak quebra medidas de segurança do iOS mas a segurança dos dados do TouchID funciona fora do iOS, usa hardware criptográfico especializado. O sistema operativo não tem aceder a esses dados nem ao processo de validação.

          • daiquiri says:

            nem eu disse o contrário.
            O que disse é: cada jailbreak é um “root” e que tudo é violável, dependendo do tempo e dinheiro que tenhas para dispender.

            O facto da estratégia da Apple na protecção das impressões digitais só o torna mais difícil de conseguir, mas não impossivel

          • JBM says:

            Quiseste implicar o contrário ao vir com o assunto do jailbreak!
            Se não é possível via software, a alternativa teórica é impraticável, e até prova em contrário impossível.

    • Safrane says:

      Enfim…

      Não tens mais nada para fazer?

      Não tem mal, ninguém usa “touchid” boa Android.

  4. irlm says:

    e em relação ao IRIS dos novos Lumia?

  5. Benchmark do iPhone 6 says:

    E esta conversa toda … porque em 2012 a Apple comprou a AuthenTec que estava ,nem mais nem menos, que a desenvolver um sensor de impressões digitais para a Motorola – que na altura já tinha sido comprada pela Google.

    A história já foi contada, mas ficou a dúvida se a cova nas costas do Nexus 6, que foi preenchida com o símbolo da Motorola, era mesmo para o leitor de impressões digitais da AuthenTec ou não. Confirmou-se que sim:

    http://phandroid.com/2015/08/05/nexus-6-fingerprint-scanner-prototype/

    Como disse o ex-CEO da Motorola da altura sobre o Nexus 6: “The secret behind that is that it was supposed to be fingerprint recognition, and Apple bought the best supplier [AuthenTec]. So the second best supplier was the only one available to everyone else in the industry and they weren’t there yet,”

    http://www.techradar.com/news/phone-and-communications/mobile-phones/how-apple-killed-the-nexus-6-s-fingerprint-scanner-1282063

    E foi assim que a Apple ganhou avanço. Autenticamente deixaram fugir o pássaro da mão. Depois tiveram que correr atrás do prejuízo.

  6. Benchmark do iPhone 6 says:

    E esta conversa toda … porque em 2012 a Apple comprou a AuthenTec que estava ,nem mais nem menos, que a desenvolver um sensor de impressões digitais para a Motorola – que na altura já tinha sido comprada pela Google.

    A história já foi contada, mas ficou a dúvida se a cova nas costas do Nexus 6, que foi preenchida com o símbolo da Motorola, era mesmo para o leitor de impressões digitais da AuthenTec ou não. Confirmou-se que sim:

    http://phandroid.com/2015/08/05/nexus-6-fingerprint-scanner-prototype/

    Como disse o ex-CEO da Motorola da altura sobre o Nexus 6: “The secret behind that is that it was supposed to be fingerprint recognition, and Apple bought the best supplier [AuthenTec]. So the second best supplier was the only one available to everyone else in the industry and they weren’t there yet,”

    http://www.techradar.com/news/phone-and-communications/mobile-phones/how-apple-killed-the-nexus-6-s-fingerprint-scanner-1282063

    E foi assim que a Apple ganhou avanço. Autenticamente deixaram fugir o pássaro da mão. Depois tiveram que correr atrás do prejuízo.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.