지문은 당신에게 유일한 것입니다.
스마트 폰에 추가 보안 기능을 제공하는 지문 인식 스캐너가 적합합니까?
불행히도, 추가 된 보안이 더 많은 책임이 될 수있는 것처럼 보입니다. 연구원은 특정 안드로이드 기기에서 발견 된 결함으로 인해 해커가 지문 인증을 복제하고 추가적인 사이버 공격 및 도용에 사용할 수 있다고 주장합니다.
보안 업체 인 파이어 아이 (FireEye)의 타오 위 (Tao Wei)와 유룡 장 (Yulong Zhang)은 삼성 갤럭시 S5 및 기타 안드로이드 기기의 지문 인증 보안에 실패했다고 밝혔다. 이 듀오는 최근 RSA 컨퍼런스에서 그들의 발견을 발표했다 (PDF).
$config[code] not found기본적으로이 문제는 다음과 같이 나뉩니다.
- 이러한 스마트 폰에 대한 정보는 별도의 보안 영역에서 세그먼트 화되고 암호화됩니다.
- 이 결함은 공격자가 지문 정보를 보호 구역에 도달하기 전에 지문 정보를 수집하거나 Wei와 Zhang이 지칭하는 TrustZone으로 가져올 수 있다는 것입니다.
- 거기에서 지문 데이터를 복사하여 저장할 수 있습니다.
즉, 공격자가 TrustZone을 시도하고 침입 할 필요가 없습니다. 대신 정보는 메모리 또는 스토리지에서 도난 당합니다. 공격자는 사용자 수준의 액세스를 관리하고 지문을 관리해야합니다. 악성 코드가 시스템 수준의 액세스 만 필요로하는 Galaxy S5에서는 문제가 더욱 심각해 보입니다.
장은 포브스에게 말했다:
"공격자가 신뢰할 수있는 영역에 저장된 지문 데이터에 액세스 할 수는 없지만 커널을 (안드로이드 운영 체제의 핵심) 깨뜨릴 수 있으면 언제든지 지문 센서를 직접 읽을 수 있습니다. 지문 센서를 만질 때마다 공격자가 지문을 훔칠 수 있습니다 … 데이터를 가져올 수 있으며 데이터에서 지문 이미지를 생성 할 수 있습니다. 그 후에는 원하는대로 할 수 있습니다. "
이 문제는 Android 5.0 Lollipop 이전의 운영체제를 실행하는 기기에서만 나타나는 것으로 보입니다. Wei와 Zhang은 가능하다면 이전 버전을 사용하는 사람은 누구나 기기를 업데이트해야한다고 제안합니다.
삼성 대변인은 Forbes에 이메일을 통해 말했다:
"삼성은 소비자의 개인 정보 보호와 데이터 보안을 매우 중요하게 생각합니다. 우리는 현재 FireEye의 주장을 조사하고 있습니다. "
웨이 (Wei)와 장 (Zhang)은 다른 장치를 테스트하지는 않았지만 문제가 광범위하다고 추측했다. 그들은 귀하의 정보를 보호하기 위해 예방 조치를 취할 것을 제안합니다. 장치를 최신 상태로 유지하고 대중적이고 신뢰할 수있는 출처의 응용 프로그램 만 설치하며시기 적절한 패치 및 업그레이드를 통해 모바일 장치 공급 업체에 충실하십시오. 또한 기업 사용자는 고급 대상 공격으로부터 보호 받기 위해 전문적인 서비스를 원할 수도 있다고 제안했습니다.
Shutterstock을 통한 지문 사진
코멘트 ▼
