Смартфоны HTC хранят отпечатки пальцев как графические файлы в открытой папке

Смартфоны HTC хранят отпечатки пальцев в открытой папке

Александр Панасенко 11 Августа 2015 - 19:05

...

Биометрическая защита для смартфонов — хорошая вещь, но только если она грамотно реализована. Специалисты по безопасности из компании FireEye продемонстрировали, что не всегда реализация защиты сделана нормально. В некоторых смартфонах она такая, что угрожает безопасности самого владельца смартфона.

Например, в смартфонах HTC изображения отпечатка пальца хранятся в открытом для всех графическом файле. Украсть его может злоумышленник или вредоносное приложение.

«Хотя некоторые производители заявляют, что хранят отпечатки пальцев в зашифрованном виде в системном разделе, они по ошибке хранят их в открытом виде в общедоступной папке, — пишут авторы доклада. — На HTC One Max X отпечаток сохраняется в файл /data/dbgraw.bmp с настройкой разрешения 0666 («общедоступно»). Любой непривилегированный процесс или приложение может украсть отпечаток пальца пользователя, прочитав этот файл», пишет xakep.ru.

Авторам исследования удалось успешно восстановить отпечаток со смартфона и даже определить характеристики конкретного сканера.

HTC – не единственный производитель, который реализовал слабую защиту отпечатков пальцев. Большинство остальных хранят файлы в защищенной области, но известные уязвимости все-таки дают злоумышленнику возможность получить доступ к ним.

Представители HTC уже прислали официальный ответ. По их словам, специалисты компании ознакомились с отчетом FireEye и сейчас работают над исправлением бага.

Авторы исследования обращают внимание на еще одну уязвимость, присущую многим производителям, включая HTC и Samsung. Это недостаточная защита канала данных от самого сенсора. Во многих смартфонах вредоносная программа может без проблем считывать данные напрямую с сенсора, когда пользователь прикладывает к нему палец.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Июня 2026 - 20:59

Solar appScreener Корпорации Средства защиты веб-сайтов (приложений)Статическое тестирование защищённости приложений (SAST)Системы для анализа защищенности информационных систем Сканеры исходного кода ГК «Солар»

Solar appScreener получил ИИ-триаж и автоматическое исправление уязвимостей

ГК «Солар» выпустила версию 3.16 платформы для безопасной разработки Solar appScreener. Основные изменения коснулись модуля статического анализа кода (SAST): в продукт добавили инструменты на базе ИИ для автоматической проверки результатов сканирования и подготовки исправлений для найденных уязвимостей.

Одним из ключевых нововведений стал ИИ-модуль триажа. Он анализирует результаты SAST-проверок, отсеивает ложные срабатывания и помогает разработчикам сосредоточиться на реальных проблемах безопасности.

По данным компании, модель обучалась на данных программных проектов и показывает точность более 90% при верификации уязвимостей.

Второй компонент — система автоматического исправления уязвимостей (CodeFix). Она предлагает готовые патчи для подтвержденных проблем безопасности, которые разработчик может использовать как основу для доработки кода.

Отдельно в Solar appScreener 3.16 переработали производительность самого SAST-анализатора. Теперь он активнее использует многоядерные процессоры для параллельной обработки файлов, что позволяет ускорить сканирование крупных проектов.

Обновление затронуло и модуль анализа сторонних компонентов (OSA). В нем появились дополнительные механизмы оценки лицензионных рисков и проверки используемых опенсорс-библиотек. Система анализирует не только зависимости проекта, но и информацию об авторах компонентов и возможные ограничения лицензий.

Также разработчики расширили поддержку языков программирования и улучшили инструменты для формирования SBOM-файлов. Для проектов на C и C++ появился анализ исходного кода, а для ряда языков добавлены новые возможности отслеживания потоков данных.

Еще одно изменение связано с требованиями регуляторов. В продукте появилась возможность использовать шкалу критичности уязвимостей в соответствии с классификацией ФСТЭК России, а также поддержка актуальной версии рейтинга OWASP Top 2025.

По данным «Солара», сегодня Solar appScreener используется более чем в 200 организациях, включая банки, ИТ-компании, транспортные и энергетические предприятия. Развитие подобных инструментов происходит на фоне растущего дефицита специалистов по безопасной разработке и увеличения объема программного кода, который необходимо проверять на наличие уязвимостей.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!