HTC One Max被爆重大安全漏洞：指紋識(shí)別無加密

HTC最近可謂屋漏偏逢連夜雨。繼前幾天股價(jià)暴跌、市值跌破現(xiàn)金儲(chǔ)備之后，這家公司的智能手機(jī)又被爆出未對(duì)用戶的指紋信息進(jìn)行任何形式的加密。

HTC One Max是這家公司在兩年前推出的一款巨屏手機(jī)，它也是市面上較早配備指紋閱讀器的智能手機(jī)之一。不過安全公司FireEye Labs日前表示，這款手機(jī)是以未加密、可直接讀取的高分辨率位圖圖像來存儲(chǔ)所掃描到的指紋數(shù)據(jù)的，這種方式顯然存在重大的安全隱患。

據(jù)FireEye Labs介紹，HTC One Max將用戶的指紋保存為/data/dbgraw.bmp，權(quán)限設(shè)置為0666(world readable，Android系統(tǒng)的文件存儲(chǔ)方式之一，可被其他應(yīng)用讀取)。這也就是說，任何進(jìn)程和應(yīng)用都能夠通過閱讀該文件的方式竊取用戶的指紋。

更糟的是，HTC One Max的指紋傳感器會(huì)在用戶每一次進(jìn)行指紋識(shí)別時(shí)對(duì)現(xiàn)有的位圖進(jìn)行更新。這樣一來，攻擊者不費(fèi)吹灰之力就能收集到受害者每一次的指紋掃描圖像。

隨后，F(xiàn)ireEye利用這些位圖文件重建了指紋掃描圖像，并利用它成功繞過了手機(jī)的安全系統(tǒng)。

FireEye還補(bǔ)充道，HTC One Max并非是唯一一款未能有效保護(hù)用戶指紋數(shù)據(jù)的手機(jī)，但他們并未指明任何其他的機(jī)型。

這一安全漏洞之所以危害嚴(yán)重，主要是因?yàn)槲覀兊闹讣y在一生當(dāng)中都不會(huì)發(fā)生改變，我們不能像改密碼一樣更改它們。如果你的指紋信息已經(jīng)被黑客所獲取，那么這個(gè)安全隱患將會(huì)伴隨你的一生。