ماسحات بصمة الإصبع تسمح للمخترقين بالتحكم بهاتفك
يبدو أن المخترقين أصبحوا قادرين على استغلال الثغرات في ماسحات بصمة الإصبع في هواتف أندرويد عن بعد من أجل جمع كميات كبيرة من البيانات، وقد تم اكتشاف هذه الثغرات من قبل الباحثين Tao Wei و Yulong Zhang من شركة FireEye خلال كلمة افتتاحية في مؤتمر الاختراق Blackhat الذي عقد في لاس فيغاس.
وتعود مشاكل الحماية إلى الطريقة التي تتعامل بها الأجهزة مع البيانات المستخدمة من قبل الماسحات، وحسب ما جاء في الكلمة الافتتاحية فإن الثغرات ناجمة عن :
1- الأخطاء في عمليات التصريح الخاصة بالماسح والتي قد تسمح للمخترقين بتثبيت تطبيقات خبيثة وتجاوز تقنيات حماية عمليات الدفع عبر ماسحات بصمة الإصبع.
2- الأخطاء في حساس بصمة الإصبع والتي تسمح للمخترقين بجمع بصمات المستخدمين.
3- الطرق البديلة الموجودة مسبقاً في حساس بصمة الإصبع والتي يمكن استخدامها للقيام بعمليات الدفع وجمع البيانات عن هاتف المستخدم.
وقد نوه الباحثان إلى خطورة هذه الاعتداءات نظراً لتعدد إمكانية الاستفادة منها بالنسبة للمخترقين في مجالات متعددة بما فيها انتحال الشخصية، كما أضافا قائلين :
" خلافاً لكلمات المرور تستمر بصمات الإصبع مدى الحياة وهي مترافقة في معظم الأحيان مع شخصيات حرجة ومهمة ولذا فإن تسرب واختراق بصمات الإصبع أمر لا يمكن إصلاحه."
من الجدير بالذكر أن هواتف ايفون التي تملك ماسحات Touch ID لم تتأثر بعمليات الاختراق هذه وقد تم اختبار الاعتداءات على هاتف HTC One Max وجالاكسي إس 5 رغم أن الباحثين يرجحان نجاحها على كل هواتف اندرويد التي تملك حساساً لبصمة الإصبع.
وما يزال عدد الهواتف المتضررة محدوداً حتى الآن نظراً لأن عدداً الشركات التي أضافت حساس بصمة الإصبع إلى هواتفها قليل ومقتصر على سامسونج وHTC وهواوي، لكنه من الناحية الأخرى فإن عدد الهواتف التي ستتمتع بهذا الحساس ستزداد وقد أعلنت جوجل أنها ستضيف دعماً لهذه الماسحات في الإصدار القادم من اندرويد الذي سيحمل اسم اندرويد M والذي من المفترض أن يطلق في وقت لاحق العام الحالي خلال مؤتمر المطورين.
سيسهل هذا الدعم على الشركات التقنية مهمة إضافة حساس بصمة الإصبع إلى الهواتف الذكية.
وقد دعى كل من Tao و Yulong شركات تصميم الهواتف الذكية لاتخاذ عدد من الخطوات لتطوير حماية هذه الحساسات من خلال حلقة بحث بعنوان " بصمات الإصبع على الأجهزة المحمولة : التسريب وإساءة الاستخدام" جاء فيها :
" يجب على شركات تصميم الأجهزة المحمولة تطوير طرق الحماية الخاصة بالتصريحات وعمليات التصديق الخاصة ببصمات الإصبع إلى جانب لوغاريتمات تعرف مطورة لمواجهة عمليات الاختراق المعتمدة على البصمات المزيفة، كما يجب أن تسعى إلى توفير حماية أفضل لكل من بيانات بصمة الإصبع وبيانات الماسح."
وفي الوقت الحالي أوضح الباحثان بعض الإجراءات الأساسية التي يجب اتخاذها لحماية أنفسنا من الاعتداءات :
" لتجنب التعرض للاعتداء من قبل تطبيق خبيث أو ثغرة تم استغلالها فإننا ننصح المستخدمين العاديين باختيار شركات تعمل على توفير التحديثات والحلول بشكل متكرر وسريع والحفاظ على جهازك مواكباً لآخر تحديثات الحماية، كما أنه من الجيد أيضاً القيام بتثبيت تطبيقات شهيرة من مصادر موثوقة."
