biometrika v mobilu, ne až tak šťastné řešení

Už po několik let laškují obě hlavní značky vyvíjející OS pro chytré mobilní telefony, Apple a Google (a v poslední době také i Microsoft s jejich plánovanou Lumií 940/50), s představou další jednoduché bezpečnostní vrstvy pro jejich zařízení, která by mohla svou jednoduchostí pro uživatele ale neprolomitelností pro neoprávněné uživatele nahradit staré známé jak už znakové tak numerické heslo. Řeč je samozřejmě o biometrice, která sice není uplně nejnovějším udělátkem ale dostat ji na mobilní telefony to prostě chvilku trvalo. A když už je tedy budeme mít ve svém dalším mazlíku, musí se provádět nezávislé testy, které prověřují funkčnost a celkové zabezpečení. Touto činností byla pověřena firma FireEye a výsledky s kterými přišla, jsou, dalo by se říci až alarmující.

Doporučené ukládání snímků prstu (1), ukládání do nechráněného úložiště (2)

Zatímco testy pro Apple dopadly v pořádku, testování u několika výrobců mobilních telefonů s OS Android výsledky nedopadly vůbec dobře. Nejhůře na tom byly zařízení HTC a Samsung, kteří jakékoliv doporučené bezpečné koncepty obešlo vlastním řešením a to, že naskenované snímky prstů ukládala do „veřejné“ paměti telefonu (/data/dbgraw.bmp) a co hůř s umožněnou čitelností ostatních programů, tzn. že si jakýkoliv program bez žádného oprávnění mohl tento otisk zkopírovat a nakládat s ním po svém, přičemž pro tento problém je v každém mobilu vybaveném ARMovým chipem vydedikovaný prostor označovaný jako Trust Zone Technology, který je zhruba na stejné úrovni jako samotný kernel mobilu a má k němu přístup pouze jedna „služba/aplikace“, která také zároveň má přístup k samotnému snímacímu zařízení.

Zdroje obrázků použitých v článku:
miniatura: forums.oneplus.net
(1) a (2): extremetech.com