HTC lukker stort sikkerhedshul: Alle apps kunne få fat i dit fingeraftryk

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Den taiwanesiske mobiltelefonproducent HTC har efter længere tid endelig fået lukket et giftigt sikkerhedshul på sin HTC One Max-telefon.

Sikkerhedsbristen kommer fra den omkring to år gamle telefonens fingeraftryk-aflæser, som gemmer de aflæste fingeraftryk i en ukrypteret fil i højtopløselig kvalitet, som kan tilgås af blandt andet apps.

Det betyder, at hvis indehaveren af HTC One Max-telefon uforvarende har hentet og installeret en skummel app, kan denne app tilgå fingeraftrykket og starte en sikkerhedslavine, der blandt andet inkluderer identitetstyveri.

Det skriver The Verge.

Hullet er lukket

Sikkerhedsfirmaet FireEye opdagede i sin undersøgelse af HTC One Max-telefonen, at fingeraftrykkene blev gemt i en specialiseret bitmap-fil, som sikkerhedsselskabet kunne rekonstruere fra en scanning af de gemte fingeraftryk.

Senere har FireEye advaret HTC, som nu bekendtgør, at fingeraftrykshullet er lukket i alle regioner - det vil sige også i Danmark.

HTC understreger, at bristen i opbevaringen af fingeraftryk begrænser sig til One Max-telefonen. 

Læs også: Test: Samsung Galaxy Note 3 mod HTC One Max i giganternes kamp

Flere telefoner i søgelyset

FireEyes sikkerhedsrapport indikerer dog, at der kan være flere telefoner ude i lommerne på folk, som har tilsvarende sikkerhedsproblemer med fingeraftrykslæsere.

Blandt andet nævnes Samsung Galaxy S5 som en telefon, der ikke har gemt sine fingeraftryk forsvarligt for farlige apps, som potentielt har kunnet læse med, når indehaveren har scannet sine gulerødder.

Alle fabrikanter bag de udsatte telefoner er blevet advaret og har rettet op på miseren, skriver The Verge, som dog også nævner, at det endnu er uvist, om svaghederne i fingeraftryksaflæserne er blevet misbrugt.

Fingeraftryk med trælim

Galaxy S5 har desuden tidligere været udsat for fingeraftryksudfordringer.

Det skete kort efter lanceringen, da det lykkedes tyske sikkerhedsfolk at snyde flagskibstelefonen med fup-fingeraftryk bygget af blandt andet trælim.

Det kan du læse mere om her: Sådan snydes Samsung Galaxy S5 med fup-fingeraftryk.

Også Apples iPhone har været i søgelyset for svaghed over for falske fingeraftryk, som du kan læse mere om her. 

Du kan også dykke ned i sikkerhedsrapporten fra FireEye, hvor du kan læse nærmere om (u)sikkerhed og fingeraftryk på smartphones.  

Læs også:
Helt nye login-muligheder i Windows 10: Lås din mail op med fingeraftryk

Ingen kan gemme sig: Programmørers skrivestil kan afkodes så nøjagtigt som fingeraftryk