Την ευρύτερη διάδοση της αξιοποίησης του δακτυλικού αποτυπώματος στα smartphone για να απαλλαγούν οι χρήστες από την ανάγκη τήρησης πολλαπλών περίπλοκων κωδικών ανακόπτει εύρημα δύο ειδικών σε θέματα ασφάλειας. Οι χρήστες του Samsung Galaxy S5 μπορεί να ξεγελαστούν να δώσουν το δακτυλικό του αποτύπωμα νομίζοντας ότι ξεκλειδώνουν την οθόνη του smartphone τους, ενώ χωρίς να το γνωρίζουν εξουσιοδοτούν την χρέωση της πιστωτικής τους κάρτας, αποδεικνύουν στο συνέδριο RSA Security Conference που διεξάγεται στο Σαν Φρανσίσκο.
Το κενό ασφαλείας εντόπισαν οι Yulong Zhang και Tao Wei της εταιρείας FireEye. Αφορά στην πρόσβαση στην μνήμη του τηλεφώνου πριν το δακτυλικό αποτύπωμα περιέλθει στην προστατευμένη περιοχή της μνήμης (“Trusted Zone”). Μάλιστα, σύμφωνα με τους ερευνητές, το πρόβλημα δεν περιορίζεται στο Samsung Galaxy S5, αλλά δυνητικά αφορά όλα τα smartphone με Android 5.0 ή παλαιότερη έκδοση, αφού ο τρόπος που περιγράφουν για την υποκλοπή του δακτυλικού αποτυπώματος αφορά στο λειτουργικό σύστημα. Πάντως, στην έκδοση Android 5.1.1 ο κίνδυνος δεν υφίσταται, σημειώνουν σε συνέντευξή τους στο περιοδικό Forbes online. Επιπλέον, ο επιτιθέμενος θα πρέπει να έχει δικαιώματα πρόσβασης υψηλού επιπέδου στην συσκευή -αν και η απαίτηση αυτή δεν υφίσταται στο S5.
Με την πληροφορία από την μνήμη, οι εισβολείς θα μπορούσαν να σχεδιάσουν μια πλαστή οθόνη κλειδώματος, ώστε να εισάγουν το δακτυλικό αποτύπωμα του χρήστη όχι για να ξεκλειδώσει την συσκευή, αλλά για να δώσει την εξουσιοδότησή του για μια πληρωμή.
Επιπλέον, οι ειδικοί της FireEye δηλώνουν ότι έχουν επίσης βρει τον τρόπο να αντικαταστήσουν δακτυλικό αποτύπωμα του πραγματικού κατόχου με άλλα, αποδίδοντας το κενό ασφαλείας στα τηλέφωνα που δεν κρατούν επαρκείς πληροφορίες για το πόσα δακτυλικά αποτυπώματα χρησιμοποιούνται σε αυτά.
Αυτή δεν είναι η πρώτη φορά που τα βιομετρικά συστήματα με δακτυλικά αποτυπώματα αποδεικνύονται επισφαλή.
Τον Απρίλιο του περασμένου έτους, ερευνητές βιομετρικών συστημάτων αναγνώρισης επαναλάμβαναν πως οι αναγνώστες δακτυλικών αποτυπωμάτων στα smartphone δεν εξυπηρετούν παρά τους σκοπούς του μάρκετινγκ. Οι αισθητήρες τους δεν είναι ικανοί να ξεχωρίσουν εάν πρόκειται για πραγματικό ή ψεύτικο δάκτυλο, επιμένουν. Τα smartphone είναι γεμάτα με αποτυπώματα του χρήστη, είναι εύκολο να δημιουργηθούν αντίγραφα, ο χρήστης δεν μπορεί να αλλάξει αποτύπωμα και η PayPal θα ήταν καλύτερα να μην δέχεται αυτή την μέθοδο πιστοποίησης ταυτότητας από τα Galaxy S5, αποδεικνύουν οι ειδικοί των εργαστηρίων έρευνας SRL.
