指紋辨識恐成盜刷溫牀?宏達電:全系列產品皆無此疑慮
國外媒體近日引述資安研究機構 FireEye 指出,市售機當中,包括三星 Galaxy S5 與 HTC One Max 等內建指紋辨識的 Andorid 智慧型手機具有可以透過未經授權的應用程式在手機上竊取用戶指紋的安全漏洞,對此,三星、宏達電分別發文駁斥。
根據研究機構 Marketresearch 指出,到了 2019 年,市場上將會有一半以上的手機,內建指紋辨識系統;然而英國科技網站 Theregister 引述資安研究機構 FireEye 的研究報告,指出研究人員已經找到一種方法來竊取像是 Samsung GALAXY S5 和 HTC One Max 等 Android 手機指紋辨識器的指紋,更可怕的是這些指紋可以輕鬆被印成足以使用辨識功能的印刷品。
報告指出,這個駭取方式,其實是透過一個假的熒幕鎖來誘使受害者使用指紋辨識功能解鎖,然後進一步盜取指紋,讓駭客們可以通過一個透過應用程式來蒐集受害者每一個刷卡認證所使用的指紋,直接進行轉賬認證(在歐美地區使用支付功能)。
不僅 Android 手機有問題,一名德國駭客 Starbug 指出,即使是 iPhone 採用的 Touch ID,也已經被他成功破解。然而 FireEye 更進一步指控 HTC One Max 的工程師把指紋以圖像檔(dbgraw.bmp)的方式儲存於一個公開、任何人都可讀取的檔案夾內。
對此,宏達電迴應表示:「公司視資訊安全爲首要考量,關於 FireEye 報告中提及 HTC One max 指紋辨識的安全疑慮,早已於全球各地區全面解決,HTC 全系列產品皆無此疑慮」。
記者進一步向臺灣三星取得官方聲明,聲明中指出:「三星電子一直以來非常重視資訊安全以及指紋辨識的安全性,今年四月已經對外提出聲明,三星電子與 FireEye 研究機構瞭解後,發現淺在的危險性並沒有經過證實,用戶安全性無虞」。