اطلاعات سنسور اثر انگشت دستگاه‌های اندرویدی از راه دور قابل سرقت است

کنفرانس سالانه Black Hat Security فرصتی برای هکرها و محققان امنیتی فراهم می‌کند تا گرد هم بیایند و آخرین یافته‌های خود را در زمینه هک و امنیت به اشتراک بگذارند. البته شاید به‌دلیل هجوم خبرهای مربوط به عرضه چند گوشی هوشمند جدید در روزهای اخیر، به خبر برگزاری کنفرانس مذکور کم‌لطفی شده باشد، اما طرفداران و افراد پیگیر دنیای امنیت دیجیتال بی‌شک از مدت‌ها پیش انتظار برگزاری Black Hat Security را می‌کشند و طی چند روزی که همایش برگزار می‌شود اخبارش را از رسانه‌ها پیگیری می‌کنند. خبرهای این کنفرانس، بسته به این که از چه درجه اهمیتی برخوردار باشند، در وب‌سایت‌های خبری مختلف بازتاب پیدا می‌کنند. یکی از این خبرها، که سروصدای زیادی به پا کرده، درباره وجود حفره‌های امنیتی مختلف در فریمورک انگشت‌نگاری اندروید است؛ یعنی همان فریمورکی که به کمک آن سنسور شناسایی اثر انگشت روی گجت‌های اندرویدی کار گذاشته می‌شود. باگ‌های موجود در این فریمورک آن را مستعد هزاران نوع حمله امنیتی می‌کنند که یکی از آنها دور زدن سیستم‌های پرداخت به‌وسیله تصدیق اثر انگشت است. جالب اینجاست که حملات مذکور تنها قادر به دور زدن سیستم پرداخت موبایلی دستگاه‌های اندرویدی هستند و سنسور تاچ آی‌دی آی‌دیوایس‌ها در برابر آنها مصون است.

با توجه به این که اکثر شرکت‌ها با تکیه بر سنسورهای شناسایی اثر انگشت در حال ایجاد تحول در زمینه پرداخت‌های مالی هستند، تصور این که یک هکر بتواند سنسور اثر انگشت را دور بزند و از این طریق سرقت کند ترسناک است! مسئله وقتی بدتر می‌شود که می‌شنویم مشکل به همین‌جا محدود نیست. دو محقق امنیتی با نام‌های Tao Wei و Yulong Zhang نشان دادند که با حمله جاسوسی می‌توان به‌طور بی‌سیم کل اطلاعات واقعی ذخیره‌شده تحت رمزنگاری سنسور اثر انگشت را به سرقت برد. طبق اعلام این دو محقق، حمله فوق روی هر دو دستگاه اچ‌تی‌سی وان مکس و سامسونگ گلکسی اس۵ قابل پیاده‌سازی است و می‌توان به نتیجه مدنظر رسید.

در سوی دیگر تاچ آی‌دی شرکت اپل را داریم که، به‌دلیل ماهیت متفاوت طرز عملکرد، اطلاعات را پیش از آن که کلید کریپو را دریافت کرده باشد در اختیار نمی‌گذارد؛ بنابراین حتی اگر هکر به سنسور تاچ آی‌دی دسترسی پیدا کند، اطلاعات حیاتی سربسته و رمزنگاری‌شده باقی می‌ماند.

کم از مسائل نگران‌کننده نگفتیم، از این رو بهتر است به خبرهای خوش نیز اشاره‌ای کنیم. وقتی چنین خبری به گوش ما می‌رسد، مطمئنا پیش از ما به اطلاع سازندگان گوشی‌های اندرویدی نیز رسیده است. به‌عبارت بهتر، اگرچه این‌طور که به نظر می‌رسد بستر آی‌اواس امن‌تر است، خوشبختانه، به‌لطف جامعه پویا، مشکلات امنیتی اندروید نیز گزارش و رفع می‌شوند. بسیاری از شرکت‌ها، بدون آن که هیایویی حول این موضوع و ضعف‌های موجود راه بیندازند، آپدیت‌های امنیتی را منتشر می‌کنند و تلاش می‌کنند کاربران را مصون نگه دارند. بنابراین می‌توان گفت اگر سیستم عامل گجت خود را به‌روز نگه دارید، تا حد زیادی از گزند مشکلات به دور خواهید ماند.

البته موضوعی که نباید فراموش کرد این است که پیاده‌سازی این هک‌ها ساده و عامیانه نیست. این مسئله شاید بتواند آن دسته از کاربران را کمی دلداری دهد که به‌شدت نگران اطلاعات و امنیت خودشان‌اند. تا آغاز کار سرویس سامسونگ پی فاصله چندانی نداریم و سرویس‌های مشابه نیز دیر یا زود شانس خود را برای مطرح‌شدن امتحان خواهند کرد. از این رو، با در نظر گرفتن این که سرویس‌های پرداخت موبایلی فعلا در ابتدای مسیر روبه‌رشد خود هستند، وجود چنین مشکلاتی را شاید بتوان تا حدودی طبیعی نیز دانست.

منبع: PhoneArena