На конференции компьютерной безопасности BlackHat хакеры раскритиковали защищенность хранения данных отпечатков пальца в Android-смартфонах.

Многие производители мобильных устройств под управлением Android не используют технологию TrustZone для изоляции и защиты биометрических данных, а вместо этого хранят зашифрованную информацию в «общих» разделах файловой системы. Впрочем, даже при таком раскладе это получается немного надежней, чем у компании HTC. Специалисты выяснили, что в смартфоне HTC One Max с биометрическим сканером отпечатки пальцев хранятся в директории /data в виде незашифрованного графического файла dbgraw.bmp. При этом у изображения с отпечатком пальца выставлены права 0666, что означает полный доступ на чтение. Как следствие, злоумышленники с помощью любого непривилегированного процесса или приложения могут получить доступ к данному изображению и скачать его из смартфона в высоком разрешении.