A utilização de leitores de impressões digitais têm-se tornado uma realidade cada vez mais comum nos novos smartphones. Depois da Apple ter introduzido o TouchID várias foram as marcas que lhe seguiram o exemplo.
Mas estes novos mecanismos de segurança, para além de serem úteis, trazem também novos problemas. Investigadores provaram agora que os leitores de impressões digitais usados no Android são propensos a falhas graves de segurança.
Dois investigadores da empresa FireEye preparam-se para apresentar na conferência Black Hat um estudo onde mostram que os leitores de impressões digitais no Android são simples de atacar e que podem facilmente libertar os dados dos utilizadores.
São varias as formas que criaram para conseguir roubar os dados das impressões digitais dos utilizadores, revelando as fragilidades que estes sistemas têm.
Uma das maiores falhas que encontraram nestes mecanismos é a falta de uma protecção eficaz dos dados que os leitores recebem quando são utilizados.
Com este ataque é possível recolher imagens das impressões digitais dos utilizadores, que depois podem ser usadas mais tarde para conseguir aceder ao próprio Android, de forma que os utilizadores não detectam.
Em vez de recorrerem a uma protecção real, com mecanismos de root, estes sensores utilizam apenas permissões e privilégios específicos do Android para protegerem as imagens das impressões digitais.
Esta forma de protecção pode ser facilmente contornada se os dispositivos tiverem root feito, o que facilita o acesso dos atacantes a zonas mais fechadas do Android.
Uma vez que tenham acesso aos dados biométricos dos utilizadores os atacantes podem usá-los onde e quando quiserem. Também a recolha destes dados pode ser feita durante muito tempo e nos vários utilizadores que usarem os sensores, sem que estes tenham estar noção de estarem a ser recolhidos.
Apesar de não referirem qualquer marca em particular e quais os menos seguros, é simples perceber que estes problemas estão presentes no equipamentos da Samsung, HTC e Huawei, por serem os principais fabricantes que têm no mercado smartphones com estes sensores.
As falhas foram comunicadas aos fabricantes onde estes problemas se manifestaram, que trataram de as resolver e aumentar a segurança dos leitores de impressões digitais e dos dados biométricos recolhidos.
Os investigadores fizeram também uma avaliação ao sistema da Apple e concluíram que este é muito mais seguro que os do Android.
O facto de cifrar os dados ainda no leitor consegue dar uma camada de segurança difícil de bater. Mesmo que os dados sejam roubados, sem a chave usada para a cifra é impossível aceder aos dados.
