指纹安全漏洞 绝不是HTC自己的丑闻
近来HTC并不太平,继手机爆出巨大指纹信息安全漏洞之后,公司又因糟糕的二季度财报和三季度预测,表示将全球裁员15%。这个结果其实很能说明一个问题,就是手机隐私的安全重要性已经不再只是宣传噱头,它已经上升到可以很大程度上影响品牌的信赖度。
过去这些年,苹果和其它大量的安卓手机厂商都在致力于指纹识别的技术进步。这种技术毫无疑问是比传统的密码保护方式要进步许多,不过看完一个来自FireEye的研究机构报告结果之后,却着实让人大跌眼镜。据报告所说,很多安卓系统的手机安全性堪忧,很多情况下,只需将手机和电脑相连,就可以找到相关的文件夹把指纹信息轻松读取出来。
这可是个很严重的问题,因为很多时候指纹识别是在支付过程中使用的。这个报告不仅发现了这个问题,还着重表达了对手机OEM厂商对指纹识别的安全性如此轻视的遗憾。因为在理论上来说,指纹信息应该与系统核心的安全级别至少是等同的。ARM的TrustZone技术是提供了额外的一层隔离保护,可问题就是有些OEM根本没把这当回事。
HTC One Max手机中储存的原始指纹位图和修正位图
报告中举的例子很让人震惊:
HTC,这个大家熟知的知名手机品牌,竟然将用户指纹信息储存在了/data/dbgraw.bmp文件中,且任何一个普通权限的程序都可以直接打开并浏览其内容。虽然其它的厂商会把指纹存储在TrustZone之中,但仍旧有黑客可以轻松获取其中的信息。HTC的漏洞造成的后果更糟糕,因为它是在每一次指纹识别成功后自动更新指纹信息到对应文件夹,所以其实相当于是黑客正坐在那里接受每一次最新的客户指纹信息。
图片新闻
最新活动更多
-
11月30日立即试用>> 【有奖试用】爱德克IDEC-九大王牌安全产品
-
即日-12.5立即观看>> 松下新能源中国布局:锂一次电池新品介绍
-
12月12日火热报名中>>> STM32全球线上峰会
-
12月19日立即报名>> 【线下会议】OFweek 2024(第九届)物联网产业大会
-
即日-12.26立即报名>>> 【在线会议】村田用于AR/VR设计开发解决方案
-
即日-12.26火热报名中>> OFweek2024中国智造CIO在线峰会
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论