安全研究人员发现了一项重磅机密: HTC 从 Android 手机版上储存了你的高清指纹图档,但只给予了极少的防护。
在一项 FireEye 研究人员发布的(由官方制定发布的阐明及执行的规范报告)中说明了,从 HTC 电话 One Max 中套取图像文件是一件多么简单的事。
以 One Max 为例, HTC 将指纹图像直接保存在 /data/dbgraw.bmp 并赋予“世界可读”权限,意味着任何 app 都能盗取用户的指纹。
更糟的是,每一次指纹感应被刷过时图像就会被更新,所以恶意程序可以在神不知鬼不觉的情况下盗取多张照片。
庆幸的是,当 FireEye 告知这个问题的严重性后,这个漏洞已经被 HTC 马上修正了。
研究团也指出了其他影响到 Android 手机版的问题,像是恶意软件可冲破操作系统的防护,直接访问指纹硬件。
Apple 使用了“ Secure Enclave ”储存指纹数据,但未有保存实际图档,因此不可能取得指纹扫描。然而团队也曾经成功使用硅仿造盗取 iPhone 内的指纹。
这个新闻也充分显示出许多手机版制造商其实未有尽全力保护用户的生化资料,人们甚至无法得知他们如何运用这些资料或是否有被妥当保管。当人们越来越注重新手机版的硬体及软体升级或更多花俏的新把戏时,是否首先更应该注重手机版制造商对于个人隐私的保管能力呢?
资料来源:
Discussion about this post