FireEye razotkrio velike sigurnosne mane kod mobitela
Savjeti FireEye-a
HTC je među najgorima po pitanju sigurnosti, prema FireEye firmi za sigurnost. Iako je autorizacija otiskom prsta već dugi niz godina prisutna u idejama i projektima različitih tvrtki, od Applea do raznih Android proizvođača, vrlo malo je govora o samoj sigurnosti ovog načina interfacea.
Sama ideja je prilično neizvjesna i nesigurna oko toga da li je otisak prsta bolja zaštita od dobre lozinke. U svakom slučaju, to pitanje ostaje i dalje problematično a prema istraživanju firme za sigurnost FireEye to se potvrđuje. FireEye, koji svakodnevno prati cyber napade tvrdi kako je zaštita otiska prsta vrlo loša i da može biti učitana tako da se uključi mobitel u kompjuter i znati kojoj mapi da pristupi. Ovaj problem je vrlo velik i zabrinjavajući ako se uzme u obzir da se neka plaćanja mogu autorizirati sa otiskom prsta. U teoriji, otisak prsta pohranjen na Android uređaju je zaštičen kao i kernel, sa ARM-ovom TrustZone tehnologijom koja daje dodatni sloj izolacije i zaštite koju OEM-ovi u pravom životu ne koriste, prenosi Extremetech.
U njihovom izvještaju ulovili su HTC-ov One Max kako sprema otisak prsta kao bmp datoteku sa world permission statusom.
"Bilo koji neprivilegirani procesi ili aplikacije mogu ukrasti korisnikov otisak tako da pročitaju taj file. Da situacija bude još gora, svaki put kad (u slučaju HTC-a) je korišten otisak za autentifikaciju, autentifikacijski okvir će osvježiti bitmap datoteku kako bi reflektirala zadnji otisak. To prža napadačima da sjede u pozadini i samo skupljaju slike otiska svakog puta kad žrtva to napravi." - otkriveno je u izvješću.
No, i ostali proizvođači jako slabo prate pitanje sigurnosti a HTC slovi kao jedan od najgorih za pitanje kritične sigurnosti. FireEye je ponudio rješenje za takvu situaciju te je dao dobronamjerne savjete za mobilne proizvođače. Pošto je ovakav princip sve popularniji, potrebno je obratiti i veliku pažnju na pitanju sigurnosti, jer prema izvješćima i istraživanjima cyber napada će biti sve više, dobivajući tako novi oblik kriminala gdje je još teže uloviti kriminalca.
"Idealno bi bilo koristiti oba dva principa, otisak i lozinku za uređaje ali nisam siguran koji moerdni smartphone, ako ima, pruža tu opciju." - izjavio je Joel Hruska. U ćlanku se navodi i kako i sami proizvođači mobitela potpuno ignoriraju mogući problem, jer implementacija sigurnosnih procedura je vremenski jako duga a i sam proces je skup. I sam Samsung je lagao o enkripciji na svojim televizorima, ostavljajući oko 600 milijuna svojih klijenata otvorenim za hakerske napade, navodi se u tekstu. Ovo potvrđuje koliko je digitalna sigurnost goruće pitanje i za same firme te da bi trebale više uložiti u napora prije nego što bude prekasno. Jedan od primjera su i nedavna hakiranja auta. Ovo potvrđuje zlatno pravilo - bolje spriječiti nego liječiti.
Vezani članci
- A1 Hrvatska i CSI: Kako do sigurnijeg interneta za mlade
- VIDI 301: Sigurnost na internetu i top pametni satovi
- STORM Computers & Avola Solutions: Višeslojna sigurnost udaljenog rada
- Nokia vodi na listi povjerenja u Android telefone
- Infobip dobio novog člana Uprave i novog izvršnog direktora za sigurnost
