2013年10月,手機大廠HTC發表了One Max,以生物特徵辨識系統著稱,但不到兩年的時間,4名駭客聲稱,他們已經找到了One Max使用者存在手機內指紋資料的解碼方式,HTC指出漏洞已修復。
HTC One Max stored fingerprints where any app could see them http://t.co/MFwoSIeLqX pic.twitter.com/1fNSb5ZGhx
— The Verge (@verge) 2015 8月 10日
技術不難
4名參加今年黑帽大會(Black Hat conference)的駭客發表「研究成果」,表示他們發現了入侵HTC One Max中儲存指紋檔案的方式,並可輕易解碼還原,甚至複製竄改原有密碼登入方式。
HTC 並沒有針對這個研究成果發表評論,對根據《英國廣播公司》(BBC)的了解,HTC 已修復這項漏洞。
愈來愈多的智慧手機開始利指紋辨識系統作為解鎖以及授權線上購物的登入方式,除了指紋,臉部辨識系統對使用者來說也是個方便的解鎖程序,但資安專家卻對此持續提出質疑。
上市前應進行滲透測試
任教於英國倫敦大學學院(University College London)的薩瑟(Angela Sasse)教授提醒,生物特徵屬個人私密,卻將它存在可能被駭入的只會手機或平板電腦中,對有心入侵的駭客來說,「竊取生物特徵資料並非難事(not beyond the wit)」,更甚者,一旦他們擁有這些原始資料,可以進行複製,「甚至取代我的登入設定。」
薩瑟形容,把指紋等個人生物特徵存在行動裝置上,「猶如把電腦開機密碼寫在記事本(notepad)中一般」。
薩瑟建議,為了降低生物特徵資料遭竊取的風險,所有的產品在上市前,應該讓專家進行滲透測試(penetration test),「萬一指紋登入系統崩潰,將大大的打擊消費者信心」。
保持最新的更新
據悉,這4名華裔駭客在黑帽大會發表這項成果前,已先行告知HTC,得以在發表文章前,將漏洞修復,4名駭客受訪時對BBC表示,消費者應該隨時將行動裝置的資安系統維持在最新的更新,維護裝置內的個人資料安全。
HTC One Max & Samsung Galaxy S5 amongst phones vulnerable to fingerprint data hack http://t.co/n9625kZOXU #CyberSec #Android
— Howard Ogden (@HowardsReality) 2015 8月 9日