Amprentele înregistrate cu telefoane Galaxy S5 ar putea fi interceptate (UPDATE)

UPDATE: Reprezentanţii Samsung răspuns acuzaţiilor formulate de experţii companiei de securitate FireEye, legat de existenţa unei vulnerabilităţi care permite interceptarea amprentelor preluate folosind senzorul biometric prevăzut pe telefoane mobile din seria Galaxy S5, cu o declaraţie oficială în care neagă existenţa problemelor semnalate.

„Samsung tratează cu maximă seriozitate problema securităţii în ceea ce priveşte utilizarea amprentei digitale. Împreună cu FireEye am realizat o analiză amănunţită care a demonstrat că nu există vulnerabilităţi, iar datele utilizatorilor Galaxy S5 sunt în siguranţă.”

Alimentând temerile utilizatorilor îngrijoraţi că amprentele înregistrate folosind senzorul biometric inclus pe telefoane mobile ar putea fi interceptate şi folosite în alte scopuri, un grup de experţi ai companiei de securitate FireEye afirmă că au descoperit o modalitate de a extrage forma digitală a unei amprente, înainte ca aceasta să fie depozitată în formă criptată în memoria dispozitivului. Aparent, printre dispozitivele vizate de această vulnerabilitate se numără şi seria de telefoane Galaxy S5.

Vulnerabilitatea ce urmează să fie discutată la conferinţa RSA organizată în această săptămână la San Francisco este prezentă doar la Android 4.4 Kikat şi versiunile mai vechi, terminalele care au trecut deja la versiunea Android 5.0 nefiind afectate. Obţinând acces la nucleul sistemului de operare (kernel), un aventual atacator poate monitoriza toate datele trimise către şi dinspre telefon, inclusiv parametrii înregistraţi de senzorii încorporaţi.

Chiar dacă baza de date cu semnături de amprente stocată în memoria telefonului nu poate fi accesată, monitorizarea senzorului biometric permite interceptarea amprentei la orice atingere, spre exemplu când utilizatorul se autentifică pentru deblocarea ecranului.

Odată obţinută, impresia digitală a unei amprente poate fi folosită pentru autentificare în orice aplicaţie care acceptă această metodă. Spre deosebire de parolele clasice, amprentele degetelor nu pot fi schimbate după bunul plac. Astfel, pentru a nu deveni complet inutilă, folosirea senzorului biometric pentru autenficare trebuie combinată cu o măsură de securitate suplimentară, cum ar fi parolă sau cod generat automat prin folosirea sistemelor de autentificare în doi paşi.