אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
האקרים הצליחו לפצח סורקי טביעת אצבע בסמארטפונים צילום: שרארסטוק

האקרים הצליחו לפצח סורקי טביעת אצבע בסמארטפונים

מומחי סייבר הדגימו כיצד ניתן לחדור למכשירי אנדרואיד בעלי סורק טביעת אצבע ולגנוב את הטביעה עצמה. מדובר בגילוי בעל משמעות מרחיקת לכת עבור מפעילי כלי זיהוי ביומטריים - מאמצעי תשלום מקוונים ועד למאגר הביומטרי

09.08.2015, 14:19 | רפאל קאהאן
האקרים הציגו במהלך כנס Black Hat בסוף השבוע שיטה לגניבת טביעות אצבע מטלפונים סלולריים. השיטה שהוצגה במסגרת מחקר של FireEye קובע שההטמעה של קוראי טביעות אצבע במכשירי אנדרואיד בוצעה ללא דאגה לרמת אבטחה נאותה - מה שחושף את המשתמשים לפריצה.

קראו עוד בכלכליסט

החוקרים טענו שהשיטה אומתה על גבי מכשירי סמסונג גלקסי S5 ו-HTC One Max. עם זאת הוסבר שהפרצה קיימת בכל מכשירי האנדרואיד בהם הוטמע קורא טביעות אצבע - וואווי, סמסונג ו-HTC. גרוע מכך, מנגנון קריאת טביעות האצבע הוטמע ללא הרשאות ROOT מה שהופך את הפריצה אליו להרבה יותר פשוטה. למעשה, פריצה של המכשיר לקבלת הרשאות אדמין (ג'יילברייק) מקלה על ההאקרים שמעוניינים לפרוץ למכשיר לאיסוף טביעות האצבע.

סורק טביעת האצבע בגלקסי S5, צילום: עומר כביר סורק טביעת האצבע בגלקסי S5 | צילום: עומר כביר סורק טביעת האצבע בגלקסי S5, צילום: עומר כביר

החוקרים, טאו וואי ויולונג ז'אנג הראו שכל עוד ההאקר הצליח לחדור למכשיר - הוא יקבל את טביעות האצבעות למשך כל זמן השימוש במכשיר. טביעות אצבע הפכו לאמצעי זיהוי ביומטרי פופולרי מאוד. עד כה הם שימשו רק לשם פתיחת המכשיר - אך כבר עכשיו המטרה היא להפוך אותם לאמצעי זיהוי עבור ארנקים אלקטרוניים וגישה לאתרים במקום שימוש בסיסמה ושם משתמש.

ומה על המאגר הביומטרי?

טביעות האצבעות גם הפכו לאמצעי לניהול מדיניות הגירה, פעילות משטרתית ובתעודות זהות. גם בישראל אמור המאגר הביומטרי של הממשלה להתבסס על טביעות אצבעות והיכולת של האקרים לגנוב אותן ממכשירים של אזרחים עלול לגרום לכך שגורמים עוינים או פליליים ינצלו אותן לשם הונאה של הרשויות. החוקרים עוד ציינו שלמרות שהפריצה יכולה להתבצע גם במכשירי אייפון, טביעת האצבע עצמה מוצפנת במכשירי אפל כך שההאקר לא יוכל להשתמש בה ללא מפתח ההצפנה.

עוד ציינו החוקרים שהפרצה אינה רק בעיה של סמארטפונים - אלא גם של מחשבים ניידים וטאבלטים המצויידים בקוראי טביעות אצבע. עד כה הועברו פרטי הפרצה לכל הגורמים כולל גוגל, וקיים כבר עדכון שחוסם את הבעיה. אך מכיוון שמדיניות העדכונים של מכשירי האנדרואיד לא תלויה רק ביצרנים או בגוגל, יכול מאוד להיות שזמן רב יעבור עד שכל המכשירים בשוק יטופלו.

תגיות