HTC bewaart vingerafdrukken als onversleutelde afbeeldingen
Redactie

HTC bewaart vingerafdrukken die via de vingerafdrukscanner zijn verwerkt onversleuteld en als een normale afbeelding in een map. Kwaadwillenden kunnen de vingeradruk gemakkelijk stelen en misbruiken.

Dat blijkt uit onderzoek van beveiligingsbedrijf FireEye, die zijn bevindingen tijdens de beveiligingsconferentie Black Hat in Las Vegas presenteerde. De scan van de vingerafdruk wordt onversleuteld en als een normale afbeelding in een speciale map opgeslagen, waar alle scans van vingerafdrukken als afbeeldingen worden bewaard. Dat is zeer gevaarlijk, mede omdat kwaadwillenden de vingerafdrukscan kunnen misbruiken.

HTC vingerafdruk: onversleuteld opgeslagen

“Op de HTC One Max (de enige HTC-smartphone met een vingerafdrukscanner naast de One M9+, red.) wordt een vingerafdruk opgeslagen als   /data/dbgraw.bmp met  0666-permissies”, aldus FireEye. Hierdoor kunnen derden bij de scan van de vingerafdruk, waarbij het bestandstype .bmp wordt gebruik voor normale afbeeldingen. “Om de situatie nog erger te maken: elke keer dat de vingerafdrukscanner wordt gebruikt wordt de scan ververst. Hierdoor kan de aanvaller op de achtergrond in het geheim alle vingerafdrukken verzamelen – bij elke swipe van de gebruiker.”

onem9plus-gr

Door het stelen van een vingerafdruk is het voor kwaadwillenden mogelijk om het bestand te misbruiken, door bijvoorbeeld de scan te gebruiken wanneer een overschrijving plaatsvindt of wanneer de gebruiker zich moet authenticeren – zoals bij LastPass. Het is enorm belangrijk dat scans van vingerafdrukken veilig en versleuteld worden opgeslagen – meestal binnen het beveiligde gedeelte van de chip. Toch houden fabrikanten zich niet aan deze regels.

Met Android 5.0 Lollipop heeft Google nieuwe api’s en beveiligingsmethoden voor vingerafdrukscanners toegevoegd, die ervoor moeten zorgen dat je biometrische gegevens beter worden bewaard.

Laatste nieuws over HTC

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.