Смартфоны HTC хранят отпечатки пальцев как графические файлы в открытой папке

Смартфоны HTC хранят отпечатки пальцев в открытой папке

Александр Панасенко 11 Августа 2015 - 19:05

...

Биометрическая защита для смартфонов — хорошая вещь, но только если она грамотно реализована. Специалисты по безопасности из компании FireEye продемонстрировали, что не всегда реализация защиты сделана нормально. В некоторых смартфонах она такая, что угрожает безопасности самого владельца смартфона.

Например, в смартфонах HTC изображения отпечатка пальца хранятся в открытом для всех графическом файле. Украсть его может злоумышленник или вредоносное приложение.

«Хотя некоторые производители заявляют, что хранят отпечатки пальцев в зашифрованном виде в системном разделе, они по ошибке хранят их в открытом виде в общедоступной папке, — пишут авторы доклада. — На HTC One Max X отпечаток сохраняется в файл /data/dbgraw.bmp с настройкой разрешения 0666 («общедоступно»). Любой непривилегированный процесс или приложение может украсть отпечаток пальца пользователя, прочитав этот файл», пишет xakep.ru.

Авторам исследования удалось успешно восстановить отпечаток со смартфона и даже определить характеристики конкретного сканера.

HTC – не единственный производитель, который реализовал слабую защиту отпечатков пальцев. Большинство остальных хранят файлы в защищенной области, но известные уязвимости все-таки дают злоумышленнику возможность получить доступ к ним.

Представители HTC уже прислали официальный ответ. По их словам, специалисты компании ознакомились с отчетом FireEye и сейчас работают над исправлением бага.

Авторы исследования обращают внимание на еще одну уязвимость, присущую многим производителям, включая HTC и Samsung. Это недостаточная защита канала данных от самого сенсора. Во многих смартфонах вредоносная программа может без проблем считывать данные напрямую с сенсора, когда пользователь прикладывает к нему палец.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Июня 2026 - 19:12

R-Vision КИИ Соответствие законодательству РФ Корпорации Защита критически важных объектов Соответствие требованиям регуляторов R-Vision

R-Vision КИИ обновили под новые требования ФСТЭК России

Компания R-Vision выпустила обновление продукта R-Vision КИИ, предназначенного для автоматизации процессов категорирования объектов критической информационной инфраструктуры и подготовки отчётности для регуляторов.

Обновление связано с масштабными изменениями нормативной базы, которые произошли за последний год.

Были скорректированы правила категорирования объектов КИИ, обновлены требования к ведению реестра значимых объектов и утверждён единый перечень типовых объектов критической инфраструктуры.

В новой версии переработаны интерфейсы, карточки объектов, шаблоны отчётности и механизмы расчёта категории значимости. Теперь критерии значимости определяются непосредственно на уровне групп ИТ-активов, а часть ранее использовавшихся разделов и отчётов исключена как утратившая актуальность.

Карточки объектов КИИ получили новые поля. В них можно указывать федеральный округ, сферу деятельности, тип объекта, регистрационный номер, доменное имя и внешний сетевой адрес. При этом система автоматически формирует регистрационный номер на основе введённых данных, что позволяет сократить объём ручной работы.

Серьёзные изменения затронули и механизм категорирования. Калькулятор автоматически определяет применимые критерии оценки в зависимости от сферы деятельности объекта и рассчитывает итоговую категорию значимости. При необходимости результаты можно скорректировать вручную.

Кроме того, в продукте появились инструменты для расчёта коэффициента защищённости Кзи. Этот показатель характеризует состояние защиты значимых объектов КИИ и рассчитывается по методике ФСТЭК России. Для этого в системе добавлен готовый шаблон аудита с преднастроенными формулами и логикой вычислений.

Согласно действующим требованиям, субъекты КИИ должны проводить такую оценку не реже одного раза в полгода и направлять результаты во ФСТЭК в течение пяти рабочих дней после завершения расчётов.

Также в R-Vision КИИ обновлены шаблоны документов «Акт о категорировании КИИ» и «Сведения о присвоении категории», приведённые в соответствие с актуальными нормативными требованиями.

В результате обновление позволяет организациям сократить количество ручных операций при ведении реестра объектов КИИ, подготовке отчётности и выполнении регуляторных процедур, связанных с соблюдением требований законодательства о безопасности критической информационной инфраструктуры.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!