У смартфонах OnePlus 7 Pro виявлена уразливість (CVE-2020-7958), що дозволяє стороннім отримувати відбитки пальців користувачів. Хоча уразливість складно проексплуатувати, за словами експертів, вона проливає світло на більш серйозну проблему.
Проблема була виявлена в липні 2019 року спеціалістами з Synopsys Cybersecurity Research Center і виправлена виробником в січні 2020 року шляхом оновлення прошивки. Детальний опис уразливості дослідники планують опублікувати пізніше, а поки що випущено лише коротке повідомлення.
Згідно з повідомленням, уразливість може бути проексплуатована шкідливим Android-додатком з правами суперкористувача на уразливому пристрої OnePlus 7 Pro для отримання растрових зображень відбитків пальців з довіреного середовища виконання (TEE) – місця для ізоляції та захисту коду і конфіденційних даних від несанкціонованого доступу.
Отримавши повноваження в середовищі виконання (REE), шкідливий додаток може підключатися безпосередньо до заводських тестових API, що відкриваються довіреними додатками в TEE. Таким чином, атакуючий може запустити послідовність команд для отримання растрових зображень відбитків пальців в REE.
За допомогою цих зображень зловмисник може відновити відбитки пальців власника смартфона і створити їх копію, яка дозволить йому розблокувати інші пристрої, де використовується біометрична аутентифікація.
Проексплуатувати вразливість на практиці дуже складно. Проте, її наявність вказує на проблему з TEE і довіреними додатками.
“Для нас найважливіше те, що ця уразливість вказує на явні проблеми з Trusted Execution Environments (TEE) і довіреними додатками (TA) – програмними компонентами, непрозорими для більшості (за задумом), експертиза яких обмежена. Ці фактори в сукупності підвищують шанси організацій на помилку, і експертам з безпеки складно своєчасно її виявити”, – повідомив старший консультант Synopsys Travis Biehn виданню SecurityWeek.
На цей момент неясно, зачіпає вразливість код OnePlus або сторонній код. Якщо вірно останнє, то проблема може також бути присутньою і в інших Android-пристроях.
Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ЗРОБИТИ ВАШУ ВІДЕОКОНФЕРЕНЦІЮ МАКСИМАЛЬНО БЕЗПЕЧНОЮ? ПОРАДИ
ЩО КРАЩЕ – “ВИМКНУТИ” ЧИ “ПЕРЕЗАВАНТАЖИТИ” КОМП’ЮТЕР? ПОРАДИ ЕКСПЕРТІВ
ЯК ЗРОБИТИ ВІДДАЛЕНИЙ РЕЖИМ РОБОТИ ПІД ЧАС КАРАНТИНУ БЕЗПЕЧНИМ? ПОРАДИ
ФІШИНГ ТА СПАМ: ЯК РОЗПІЗНАТИ ІНТЕРНЕТ-ШАХРАЙСТВА, ПОВ’ЯЗАНІ З COVID-19?
АПГРЕЙД ВАШОГО КОМП’ЮТЕРА: 5 КОМПЛЕКТУЮЧИХ, ЯКІ ВАРТО ОНОВИТИ В ПЕРШУ ЧЕРГУ
На час карантину під час Вашої роботи вдома існує більша загроза бути підданим кіберзламу, ніж би Ви виконували завдання в офісі. Щоб зменшити ризики інфікування шкідливими програмами та підвищити безпеку віддаленого доступу, дотримуйтесь наступних правил.
Нагадаємо, компанії Apple і Google об’єдналися, щоб створити систему відстеження контактів з хворими коронавірусом на iOS і Android.
Також понад 300 облікових записів Zoom виявили на одному з форумів у Даркнеті, де викладаються та продаються різні особисті дані.
Якщо Ваш смартфон потрапить до чужих рук, уся Ваша конфіденційна інформація може бути використана у зловмисних цілях. Саме тому важливо потурбуватися про безпеку своїх даних задовго до втрати чи викрадення телефону.
Як запевняють в Apple, користувач в масці не може пройти аутентифікацію за допомогою сканера особи Face ID, проте фахівці з Tencent Xuanwu Lab довели зворотне.
