“Sormenjälkien käyttäminen tunnistautumiseen mobiililaitteelle on hyvinkin kätevää, jos vaihtoehtona on alinomainen salasanojen tai muiden koodien naputtelu. Mutta onko se turvallista? Ei välttämättä.
Siitä lähtien kun mobiililaitevalmistajat ryhtyivät Apple etunenässä tuomaan sormenjälkitunnistusta kuluttajille myytäviin laitteisiin, järjestelmästä on etsitty ja löydettykin aukkoja. Tunnistuksen huijaamiseen on käytetty muun muassa sormenjälkien valokuvaamista.
Sormenjälkitunnistuksen huijaaminen voi olla vakava asia, mutta vielä vakavampaa voi olla sormenjälkien varastaminen laitteesta. Tämän väittävät turvatutkijat olevan mahdollista ainakin Samsungin Galaxy S5 -puhelimesta, kirjoittaa Forbes.
FireEye-turvafirman tutkijat ovat esitelleet havaintojaan RSA-turvakonferenssissa. S5:n lisäksi ongelma on havaittu toisessa Android-puhelimessa, mutta sitä ei nimetty.
Valmistajat ovat kyllä ymmärtäneet sormenjälkien arvon, joten ne on pyritty suojaamaan laitteella huolellisesti. Aivan loppuun asti huolellisuus ei aina ole riittänyt, sillä tutkijoiden mukaan kaappaus onnistuisi haittaohjelmalla, joka nappaa sormenjäljet heti kun ne luetaan, ennen kuin tieto tallennetaan salattuna.
Menetelmä edellyttää Androidin ytimen kimppuun käymistä, minkä jälkeen hyökkääjä saa sormenjäljen suoraan skannerilta.
FireEyen tutkijat kertovat olleensa yhteydessä Samsungiin, mutta yhtiö ei ole luvannut korjausta ongelmaan. Forbesin saaman kommentin mukaan Samsung tutkii FireEyen väitteitä.
FireEye sanoo, ettei ongelmaa ole enää Androidin 5-versiota eli Lollipopia käytettäessä, joten vanhempia Androideja käyttävien on syytä päivittää käyttöjärjestelmä.”