HTC bewaart vingerafdrukken die via de vingerafdrukscanner zijn verwerkt onversleuteld en als een normale afbeelding in een map. Kwaadwillenden kunnen de vingerafdruk gemakkelijk stelen en misbruiken.
Lees verder na de advertentie.
Dat blijkt uit onderzoek van beveiligingsbedrijf FireEye, die zijn bevindingen tijdens de beveiligingsconferentie Black Hat in Las Vegas presenteerde. De scan van de vingerafdruk wordt onversleuteld en als een normale afbeelding in een speciale map opgeslagen, waar alle scans van vingerafdrukken als afbeeldingen worden bewaard. Dat is zeer gevaarlijk, mede omdat kwaadwillenden de vingerafdrukscan kunnen misbruiken.
HTC vingerafdruk: onversleuteld opgeslagen
“Op de HTC One Max (de enige HTC-smartphone met een vingerafdrukscanner naast de One M9+, red.) wordt een vingerafdruk opgeslagen als /data/dbgraw.bmp met 0666-permissies”, aldus FireEye. Hierdoor kunnen derden bij de scan van de vingerafdruk, waarbij het bestandstype .bmp wordt gebruik voor normale afbeeldingen. “Om de situatie nog erger te maken: elke keer dat de vingerafdrukscanner wordt gebruikt wordt de scan ververst. Hierdoor kan de aanvaller op de achtergrond in het geheim alle vingerafdrukken verzamelen – bij elke swipe van de gebruiker.”
Door het stelen van een vingerafdruk is het voor kwaadwillenden mogelijk om het bestand te misbruiken, door bijvoorbeeld de scan te gebruiken wanneer een overschrijving plaatsvindt of wanneer de gebruiker zich moet authenticeren – zoals bij LastPass. Het is enorm belangrijk dat scans van vingerafdrukken veilig en versleuteld worden opgeslagen – meestal binnen het beveiligde gedeelte van de chip. Toch houden fabrikanten zich niet aan deze regels.
Met Android 5.0 Lollipop heeft Google nieuwe api’s en beveiligingsmethoden voor vingerafdrukscanners toegevoegd, die ervoor moeten zorgen dat je biometrische gegevens beter worden bewaard.
Laatste nieuws over HTC
- Deze HTC-smartphone heeft een groot scherm, maar piepkleine accu (7-8)
- HTC U23 Pro nu te koop in Nederland voor 569 euro (9-6)
- Dit is de U23 Pro: HTC keert terug met telefoon van 569 euro (19-5)
- HTC maakt comeback met U23 Pro: 3 dingen die we weten (15-5)
- De volgende stap voor smartphones? Deze bedrijven gokken op nft’s (19-7-2022)
