安全研究機構FireEye發現,Android系統的指紋辨識技術有漏洞,讓駭客有機可趁,可竊取使用者指紋資料,目前這項漏洞確實在三星Galaxy S5手機上找到。
指紋辨識ID已經在愈來愈多智慧型手機上應用,不僅Android手機,就連Apple的Touch ID也是使用大宗。透過指紋辨識,省去使用者輸入密碼的過程。
幾乎所有的Android手機,都會把指紋這類敏感資料存在Trusted Zone區塊的記憶體中,但是FireEye人員發現,在裝置把這些敏感資料存到安全區域之前,是有空隙讓駭客侵入來獲取資料的。而這個侵入方法,在任何Android 5.0或以下的系統版本,都能實施,換句話說,這些系統版本的手機,可能隱私資料安全都值得擔憂。
FireEye也發現,特別在三星的Galaxy S5手機上,資料的保護較不嚴密,駭客不需要深入手機本身,就能在裝置記憶體上找到使用者的指紋掃描資料。而獲取指紋資料後,駭客就能直接使用手機上的指紋辨識付費系統,屆而盜取金錢。
FireEye將在明日舉行的舊金山RSA安全大會上,公佈進一步發現。而這項漏洞,只要裝置更新系統版本到Android 5.1.1,就能避免被駭。
資料來源:BBC News
