[Google專區]

屋漏偏逢連夜雨!HTC遭爆指紋辨識圖檔 外部可隨意竊取

屋漏偏逢連夜雨!HTC遭爆指紋辨識圖檔 外部可隨意竊取

安全研究人員發現HTC手機一個嚴重的資安問題:HTC 將你的指紋辨識直接儲存為高解析度圖片,放在 Android 手機的資料夾之中,而且保護措施非常脆弱。The Next Web 形容,這個錯誤非常嚴重,「彷彿一枚炸彈」。



國外媒體爆料 HTC ONE MAX 將使用者的指紋儲存為未加密的 dbgraw.bmp 圖檔 並放在一個公開的檔案夾,讓未受權的 app 能夠擷取到此圖檔 能遭有心人士利用行不法之事。


許多網友看到這則新聞,紛紛表示:「最近每條 HTC 的新聞都是另一根釘在他們棺材蓋上的釘子」、這事情很大條耶!!! 怎麼現在才爆!!」、會將指紋圖檔上傳的程式這已經可以認定是故意的了」、一個被往死裡打啊

上週,FireEye的研究人員釋出一份報告,內容介紹他們是如何輕鬆地從HTC的手機中復原影象檔案。

屋漏偏逢連夜雨!HTC遭爆指紋辨識圖檔 外部可隨意竊取

從這張圖檔來看,HTC將指紋影象檔直接存在/data/dbgraw.bmp,外部可以隨意讀取,代表了手機上所有的應用程式都可以隨意竊取使用者的指紋。

更糟糕的是,每一次指紋感應器在掃描指紋時都會進行更新,因此惡意程式可能在沒有偵測的狀況下,竊取多張指紋照片。

在 FireEye 通知 HTC 這個危險性後,這個漏洞已經被填補起來。 但目前使用者手機中是否仍存有這個漏洞,還不得而知。

FireEye 還鑑定了另一個攻擊,釐清了惡意軟體在哪裡可以規避系統保護,直接接觸影響其他 Android手機的指紋掃描硬體。

蘋果使用了「secure enclave」來存儲指紋資料,從來沒有儲存實際影象,所以它無法獲取指紋的掃描,雖然曾經有一個小組使用矽膠成功駭入一個 iPhone 指紋辨識。

今天的新聞表明,許多手機廠商沒有發展一套成熟的方式,來做生物識別技術的安全性,他們很難知道該怎麼運用或是如何妥善保護使用者的指紋資料或是其他辨別資訊。

雖然近日HTC股價大幅下滑,但是仍然不失為一個重要的代表性。許多廠商一味的想定位在高階手機,但是實際上,程式研發的投入、應用生態圈的建立、運作實際上都差蘋果很大一截。比起矇著眼睛乎口號,不如好好低下身來一件一件改善來的實在。

via:pttinside

好慘~~~HTC最近衰事連環爆啊@@



本帖最後由 blackclassic100 於 2015-8-11 18:54 編輯

喜歡這篇文章嗎?
回覆 0
您需要登入後才可以回帖 登入 | 註冊會員

本版積分規則 回覆 15 個字以上可拿獎勵,
規則詳見此

精選熱門商品
提示訊息
go_top