O dispositivo HTC armazena impressÔes digitais sem criptografia

VocĂȘ estĂĄ usando um dispositivo HTC? Pesquisadores da FireEye descobriram uma maneira de roubar impressĂ”es digitais de dispositivos Android que possuem sensores biomĂ©tricos, como o Samsung Galaxy S5 e o HTC One Max.HTC

No entanto, a equipe ficou surpresa ao descobrir que as impressÔes digitais armazenadas no HTC One Max existem como arquivos de imagem (dbgraw.bmp) em uma pasta aberta para o mundo inteiro e sem criptografia.

“Qualquer processo ou aplicativo nĂŁo autorizado pode roubar as impressĂ”es digitais do usuĂĄrio lendo este arquivo”, diz a equipe, acrescentando que as imagens podem ser facilmente impressas.

Yulong Zhang, Zhaofeng Chen, Hui Xue e Tao Wei apresentaram suas pesquisas ImpressĂ”es digitais em dispositivos mĂłveis: abuso e vazamento [PDF] na conferĂȘncia Black Hat da semana passada em Las Vegas.

A maioria dos fabricantes de dispositivos, de acordo com os pesquisadores, não pode usar a proteção da Zona de Confiança do Android para proteger dados biométricos.

“Para piorar as coisas, toda vez que o sensor de impressĂŁo digital Ă© usado para operação de autenticação, a estrutura de autenticação atualiza o bitmap das impressĂ”es digitais”, afirmou a equipe.

“Para que o invasor possa se sentar ao fundo e coletar todas as imagens das impressĂ”es digitais da vĂ­tima.”

A equipe também acrescentou que os invasores com alguma execução remota de código podem coletar essas impressÔes digitais em massa, pois nem precisam de privilégios de root.