IT之家讯 8月11日消息,近日,来自FireEye的研究人员在HTC One Max上发现了一个重大漏洞,HTC直接将高分辨率的指纹图片储存在了Android系统中,而并没有采取足够的保护措施。
研究人员发现,HTC直接将指纹图像配置文件放在了系统的“/data/dbgraw.bmp”路径下,并赋予了“world-readable”权限,也就是说,几乎任何程序都能够窃取用户的指纹。然而,更糟糕的是用户每使用一次指纹传感器,存储的图像都会刷新一次,大大增加了恶意程序窃取用户指纹的机会。
目前,FireEye已经向HTC通知了该漏洞,HTC方面正在紧急着手修复。同时FireEys还发现,某些恶意程序可以绕开系统的防护措施,直接访问指纹传感器硬件,盗取用户的敏感信息。
与此相比,苹果的Touch ID采用的独立的安全硬件,进行指纹识别时,系统只能知晓“正确”或者“错误”,实际图像存储在更为安全的硬件模块中。因为和密码不同,指纹信息一旦被攻破,用户将无法更换指纹,其安全隐患比密码更为严重。
本文来源:不详 作者:佚名