کشف ضعف امنیتی مهم در آندروید: شبیه‌سازی اثر انگشت

همه ما به خوبی میدانیم که داده‌های بیومتریک از شخصی‌ترین و مهم‌ترین اطلاعاتی هستند که هیچ کاربری تمایل ندارد، این اطلاعات را به راحتی در دسترس افراد دیگر قرار دهد. به همین دلیل در کنفرانس امنیتی RSA که هفته گذشته برگزار شد، محققان امنیتی در مورد وضعیت امنیت بیومتریک به مردم اطلاع‌رسانی کردند. اما به‌طور ویژه، این محققان بعد از یک سلسله بررسی‌ها و انجام دادن آزمایش‌ روی سامسونگ گلکسی اس 5 (و البته مدل‌های دیگری که نام آن‌ها فاش نشده است) اعلام کردند هکرها این فرصت را دارند تا به‌آسانی به داده‌‌های بیومتریک قبل از آن‌که به منطقه امن (Secure Zone) منتقل شوند، دسترسی داشته باشند. به طوری که از این داده‌های کپی‌برداری شده در حملات آینده استفاده کنند. در حالی‌که داده‌های اثر انگشت خود در منطقه امن نگهداری می‌شوند، اما خود اسکنر بیومتریک در دسترس قرار دارد. با یک دسترسی درست، هکرها توانایی پیاده‌سازی یک حمله Man-in-the-Middle را برای این منظور خواهند داشت. بدافزاری که به صورت بی‌سر و صدا نصب می‌شود، به طور مستقیم در پس‌زمینه به فعالیت‌های خود می‌پردازد.

هکرها به آسانی به جای آن‌که به طور مستقیم به سرقت اطلاعات از طریق اسکنر اثر انگشت بپردازند، تمرکز خود را روی شکستن این نقاط محافظت شده، مکانی‌که داده‌های امن در این نقاط ذخیره‌سازی می‌شوند قرار داده و به سرقت اطلاعات اقدام می‌کنند.

برای انجام این‌کار، هکر تنها نیازمند به دست آوردن سطح دسترسی کاربری بوده که با استفاده از آن به اجرای یک برنامه از طریق ریشه برای کپی کردن اطلاعات بپردازد. محققان FireEye می‌گویند که فقط در گوشی گلکسی اس 5 یک بدافزار نیاز به دستیابی سطح سیستمی دارد؛ بنابراین هکرها نیازی ندارند که به تلاش بیشتری به پردازند.

یولونگ  ژانگ، نماینده FireEye در گزارشی که در نشریه فوربز منتشر شده است، در این باره می‌گوید: «اگر هکری توانایی شکستن هسته را داشته باشد، اگرچه امکان دسترسی به داده‌های اثرانگشت ذخیره شده در نقطه امن را ندارد، اما به‌طور مستقیم به حسگر اثر انگشت در هر زمانی دسترسی خواهد داشت. هر زمان حسگر اثر انگشت توسط کاربر لمس شود، هکر توانایی سرقت اثر انگشت کاربر را خواهد داشت. هکر با استفاده از این داده‌های دریافت شده توانایی تولید یک تصویر از اثر انگشت را پیدا می‌کند. بعد از آن‌که این‌کار توسط هکر انجام گرفت، در ادامه توانایی انجام هر عملی امکان‌پذیر خواهد بود.» البته کاملا واضح است، با استفاده از این تکنیک دسترسی به حساب‌های بانکی و برداشت از حساب‌ها به راحتی برای هکر فراهم می‌شود.

با توجه به صحبت‌های این نماینده، این آسیب‌پذیری در دستگاه‌های آندروییدی مجهز به نسخه آبنبات‌چوبی 5 به بالا وجود ندارد، بنابراین توصیه می‌کنیم در اولین فرصت ممکن سیستم‌عامل خود را به‌روزرسانی کنید. سامسونگ در همین زمینه می‌گوید: «حریم خصوصی و داده‌‌های امنیتی مشتریان دغدغه اصلی سامسونگ است. ما در حال بررسی صحت ادعای فوربز هستیم.»

اگرچه محققان ادعا می‌کنند تنها تعداد محدودی از دستگاه‌های مجهز به سیستم‌عامل آندرویید را مورد آزمایش قرار داده‌اند، اما آن‌ها انتظار دارند که این آسیب‌پذیری در سطح وسیع‌تری فقط در گوشی‌های سامسونگ قرار داشته باشد.

اگر فرد خوش‌شانسی باشید، ممکن است اطلاعات بیومتریک شما همچنان در صحت کامل قرار داشته باشند. اما به عنوان یک راهکار امنیتی مضاعف اگر مالک دستگاهی با اسکنر اثر انگشت هستید، ممکن است تمایل داشته باشید که سیستم‌عامل آبنبات‌چوبی آن‌را در صورتی‌که برای دستگاه‌ شما نسخه بالاتر آن عرضه شده باشد به‌روزرسانی کنید.

اما نگرانی درباره این رخنه امنیتی فراتر از حد انتظار است. کافی است تصور کنید هر شخصی که امکان دسترسی به یک آزمایشگاه مجهز را داشته باشد، به آسانی بتواند اثر انگشت را بدون هیچ کار اضافی و تنها با تصویری که آن‌را از روی اینترنت به دست آورده است، تولید کند. چند ماه پیش، مایکل ژانگ در پستی نوشت: «هر چه کیفیت دوربین‌ها بیشتر و بیشتر می‌شود، مشکلات امنیتی جدیدی در باره اثر انگشت بروز خواهند کرد. به‌طوری که هکرها به راحتی توانایی سرقت اثر انگشت را با استفاده از تصاویر عمومی خواهند داشت. سال گذشته، هکری به‌نام ژان کریسلر در بزرگ‌ترین انجمن هکری اروپا نشان داد چگونه توانسته است اثر انگشت اورسلا ون درلاین، وزیر دفاع آلمان را با عکس‌هایی که روی اینترنت پیدا کرده بود، ترمیم و بازیابی کند.»

 البته زمانی‌که صحبت از اثر انگشت می‌شود، روش‌های مختلفی برای به‌دست آوردن آن وجود دارد، از لمس مستقیم دستگاه تشخیص دهنده اثر انگشت گرفته تا اثر انگشتی که روی اشیای شفاف باقی می‌ماند. حتی احتمال ضبط کردن اثر انگشت از یک تصویر با کیفیت بسیار بالا نیز وجود دارد.