Skener odtlačkov prstov vyvolalo otázky od prvej integrácie do moderného smartfónu: je to bezpečné, spoľahlivé, kto bude mať prístup k mojim odtlačkom prstov?
Okrem množstva vonkajšie spôsoby, ako oklamať skener, výskumníci na FireEye, bezpečnostná spoločnosť, našla internú zraniteľnosť v telefónoch ako HTC One Max a Samsung Galaxy S5, ktorá spôsobila, že obrázky odtlačkov prstov boli náchylné na skopírovanie hackermi alebo škodlivým softvérom. Zraniteľnosť bola odvtedy opravená na všetkých telefónoch, o ktorých výskumníci zistili, že sú ovplyvnené, aj keď nie je jasné, ako bola oprava použitá.
Predtým, ako budeme hovoriť o tom, aké smiešne nezabezpečené boli odtlačky prstov, tu je niekoľko vecí, ktoré treba mať na pamäti pri smartfónoch. Smartphone je len malý počítač bez klávesnice alebo myši. Ako každý počítač, aj smartfóny organizujú svoje dáta do priečinkov. Ako používateľ máte prístup k niektorým priečinkom (ako je priečinok, ktorý obsahuje a zobrazuje vaše aplikácie, alebo priečinok, ktorý obsahuje obrázky), zatiaľ čo k iným nemáte prístup. Toto má zabrániť náhodnému vymazaniu dôležitých súborov. Z bezpečnostných dôvodov sú niektoré priečinky ďalej prístupné iba pre operačný systém telefónu; bežní používatelia a aplikácie sa nemôžu dostať dovnútra. Tieto druhy priečinkov sú zvyčajne miestom, kde výrobcovia telefónov ukladajú údaje o odtlačkoch prstov.
Samsung a HTC to neurobili. Namiesto toho ich ukladali do priečinka s názvom /data/, čo je veľmi prístupný priečinok. Ak máte telefón s Androidom, môžete otvoriť správcu súborov a pozrieť sa do tohto priečinka práve teraz. (Môže sa zdať, že je prázdna, ale len preto, že súbory sú pre vás skryté. To sa dá zmeniť na stránke možností väčšiny správcov súborov.) Samotný súbor bol vo formáte bežného obrázka (.bmp) a obrázok bol skreslený iba minimálnym zabezpečením. Povolenie v telefóne sa v skutočnosti nazýva „svetovo čitateľné“. Ak by teda škodlivá aplikácia chcela odfotiť váš odtlačok prsta, nič by ju nezastavilo. A to je všetko. Žiadne útoky na získanie prístupu root alebo phishing. Stačí prejsť do nechráneného priečinka.
Podľa najkonzervatívnejšieho odhadu bolo 12 miliónov telefónov vystavených krádeži odtlačkov prstov – to je posledná spoľahlivá počet predaných Samsung S5. Čísla sú na HTC One Max neisté a ak výskumníci našli rovnakú zraniteľnosť na iných telefónoch, mená nespomenuli.
V ich správa, výskumníci tiež spomenuli, že chyby v terminológii medzi autentifikáciou a autorizáciou. Nazývajú to „útok zmätenej autorizácie“, keď používateľ chce telefón iba otvoriť (overiť), zatiaľ čo škodlivá aplikácia použije rovnaký odtlačok prsta na autorizáciu mobilnej platby. The Aliancia FIDO, bezpečnostné konzorcium na podporu online bezpečnosti a s členmi ako Microsoft, Samsung a Google, teraz pracuje na špecifikácii, ktorá by tieto slabé miesta správne riešila.
