Scoperto bug sul sensore biometrico di Galaxy S5: impronte digitali nelle mani degli hacker

Scoperto bug sul sensore biometrico di Galaxy S5: impronte digitali nelle mani degli hacker

Una squadra di ricercatori di sicurezza di FireEye ha scoperto un bug sull'implementazione del sensore per la scansione delle impronte digitali di Galaxy S5 e, più genericamente, di alcuni smartphone Android

di Nino Grasso pubblicata il , alle 08:31 nel canale Telefonia
SamsungGalaxyAndroid
 

Salvare in locale (o peggio in cloud) una risorsa inestimabile come la scansione della propria impronta digitale potrebbe non essere la scelta più saggia da fare per garantire la sicurezza dei dati del proprio dispositivo. Questo perché, in caso di errore nell'implementazione della feature, il cybercriminale di turno potrebbe ottenere accesso all'impronta e utilizzarla a propria discrezione. E, a differenza delle password l'impronta digitale resta quella a vita, e non si può cambiare.

Samsung Galaxy S5, sensore biometrico

In quest'ottica, quanto rinvenuto dai ricercatori di FireEye potrebbe essere di grande rilievo: in sostanza, un'errata implementazione del sensore biometrico per le impronte digitali su Galaxy S5 (e Android in generale) consentirebbe ad utenti malintenzionati di clonare le impronte digitali salvate in locale sul dispositivo. Sullo smartphone Samsung, e su altri dispositivi Android non meglio specificati, l'impronta digitale è salvata su un file protetto, ma secondo quanto riportato dalla società di sicurezza è possibile intercettarla con un malware prima dell'applicazione della crittografia.

"Un attaccante potrebbe riuscire a raccogliere dati provenienti dai sensori per la scansione delle impronte digitali sui dispositivi Android", scrive Forbes che ha riportato la novità. Per farlo però bisogna ottenere l'accesso al dispositivo e attivare i permessi di root per raccogliere eventuali informazioni. Ma su Samsung Galaxy 5 "non bisogna nemmeno scendere così in profondità" - specifica la pubblicazione - con un malware che può monitorare costantemente il sensore e fornire i dati non appena questo viene utilizzato, e quindi ancor prima che l'impronta stessa finisca nella memoria del dispositivo.

Il team di ricercatori di FireEye ha contattato Samsung prima di divulgare la notizia, senza tuttavia ricevere risposte esaudienti. La società non ha annunciato ancora alcun aggiornamento, anche se ha dichiarato a Forbes che sta indagando sul fenomeno con l'obiettivo di rilasciare al più presto un fix specifico. È bene specificare che i dispositivi aggiornati ad Android 5.0 Lollipop sono immuni al malware di FireEye, pertanto come al solito è consigliato l'aggiornamento se la release è già disponibile sul proprio dispositivo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

50 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy24 Aprile 2015, 09:13 #1
trovo che gli smartcosi siano oggetti pericolossissimi, del tutto fuori dal controllo degli utenti. Non sai cosa fanno, quando si collegano, cosa raccolgono.
Sono computer connessi ad una rete globale, con il livello di sicurezza e la configurabilità di windows 3.11. Decidono loro cosa va bene per te, salvano le cose come e dove vogliono, e poi succedono 'ste cose.

Allucinante.
Korn24 Aprile 2015, 09:19 #2
titolo vagamente allarmistico ma vagamente è
Ale199224 Aprile 2015, 09:28 #3
Ho letto tutto con un pò di preoccupazione, e poi alla fine mi ritrovo:

È bene specificare che i dispositivi aggiornati ad Android 5.0 Lollipop sono immuni al malware di FireEye, pertanto come al solito è consigliato l'aggiornamento se la release è già disponibile sul proprio dispositivo.


E che....fortuna che ho sbrandizzato. Quindi, per quanto riguarda S5 sono in pericolo solo gli utenti Tim. In quanto mi sembra che tutti gli altri e gli ITV siano gia "aggiornati". Comunque concordo con chi dice che sti cosi son pericolosi, effettivamente non sappiamo come funzionano e cosa registrano e/o salvano, inviano ecc. Ma tanto sta cosa farà la fine del furto di dati su icloud, tutti a togliere la roba perchè sennò gliela rubano; ora tutti a togliere le impronte dai telefoni e non usare piu il sensore. Poi quando le acque si calmeranno tutti di nuovo ad utilizzarlo. Bah...Sinceramente mai usato, dato che non mi ci trovo per niente.
dartita24 Aprile 2015, 09:46 #4
Originariamente inviato da: Ale1992
Ho letto tutto con un pò di preoccupazione, e poi alla fine mi ritrovo:

E che....fortuna che ho sbrandizzato.


Sei al corrente del fatto che quando una falla viene resa publica, questa è già stata abbondantemente utilizzata per i suoi scopi?
FirePrince24 Aprile 2015, 09:46 #5
Come al solito l'implementazione Apple si rivela superiore: le impronte non sono salvate da nessuna parte, ci sta solo un hash che non risiede nella memoria del telefono ma in un chip dedicato
Dominioincontrastato24 Aprile 2015, 09:48 #6
È bene specificare che i dispositivi aggiornati ad Android 5.0 Lollipop sono immuni al malware di FireEye, pertanto come al solito è consigliato l'aggiornamento se la release è già disponibile sul proprio dispositivo.


Io Lollipop non lo aggiorno, è ancora lento, buggato e consuma ram e batteria.

Certo continuate a stare su Kitkat
inkpapercafe24 Aprile 2015, 09:57 #7
L'implementazione Apple si rivela COSA? con gente che ti sloccava il tuo melafon rubato con la zampa del proprio cane e gatto?
^Alex^24 Aprile 2015, 10:14 #8
Originariamente inviato da: inkpapercafe
L'implementazione Apple si rivela COSA? con gente che ti sloccava il tuo melafon rubato con la zampa del proprio cane e gatto?


Hai qualche link oppure è la solita sparata tanto per dar fiato alla bocca?
Io fino ad ora ho visto solo un'articolo di un tizio che ha isolato un'impronta perfetta, l'ha scansionata, poi dopo ore passate con photoshop e poi tramite un piccolo laboratorio chimico fai da te...Insomma dopo mesi di prove, è riuscito a sbloccare il suo telefono partendo da un'impronta perfetta.
Insomma...Una situazione che puoi trovare su qualunque telefono e facilissima da mettere in pratica...
Ma se tu hai delle notizie vere a riguardo (e non farlocche), pronto a leggerle....
Epoc_MDM24 Aprile 2015, 10:17 #9
Originariamente inviato da: ^Alex^
Ma se tu hai delle notizie vere a riguardo (e non farlocche), pronto a leggerle....


https://blog.lookout.com/blog/2014/...6-touchid-hack/

divertiti

Dice che il sensore sul 6 è migliore rispetto al 5S dov'era più facile farlo, ma che è comunque possibile con un po di pazienza
E comunque non te la prendere, ma non capisco questo "difendere imprescindibilmente" che porti avanti.
Io se vengo a sapere di una falla di sicurezza, anche detta a caso da xyz vado a documentarmi DA SOLO per il mio bene.
Non do per scontato che "visto che mi piace allora funziona".

Poi eh, io lo dico per te, libero di fare e credere in quello che vuoi.
^Alex^24 Aprile 2015, 10:22 #10
Originariamente inviato da: Epoc_MDM
https://blog.lookout.com/blog/2014/...6-touchid-hack/

divertiti

Dice che il sensore sul 6 è migliore rispetto al 5S dov'era più facile farlo, ma che è comunque possibile con un po di pazienza


Si, ma con il suo telefono e le sue impronte!
Avevo appunto sottolineato il fatto che volevo leggere notizie vere e non farlocche....Come non detto....
Non me la prendo affatto.
La rete è piena di fenomeni come il tizio che hai postato.
Poi però scopri che fanno i fenomeni solo in casa propria, non danno mai la dimostrazione di quanto sono bravi in pubblico con un telefono qualsiasi che magari hanno toccato altre 10 persone...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^