HTC i personvernblunder

SIKKERHETSTESTING FRAVÆRENDE: HTC beskyldes for manglende sikkerhetstenking etter at sjokkerende dårlig håndtering av fingeravtrykksdata. Illustrasjon: Istockphoto

HTC i personvernblunder

Fingeravtrykkslesingen til HTC-mobilene lagres som rådata i en vanlig, ukryptert tekstfil alle kan lese og konvertere.

Fingeravtrykk er en av flere autentiseringsmetoder som er blitt populære på smarttelefoner. Ikke bare som signering og bekreftinger på linje med digitale underskrifter i nettbank, men også for innlogging.

Skepsis underbygges

Skepsisen mot å bruke fingeravtrykk har vært knyttet til hvordan disse fingeravtrykkene lagres. Både sentrale lager under kontroll av en leverandør til hvordan den lagres i en mobil dings som kan mistes, avhendes uten sletting eller stjeles.

HTC har fått avdekket hvordan det ikke skal gjøres av sikkerhetsselskapet FireEye. Fire forskere der fant ut at HTC lagret datafilen med fingeravtrykket i en tekstfil. Denne lett lesbare filen er lagret i et åpent, ukryptert område som er enkelt å få tilgang til.

Det skal ikke veldig spesiell programvare for å konvertere en slik fil tilbake til et fullt ut brukbart digitalt fingeravtrykk.

Kritikken mot bruken av fingeravtrykk for innlogging fortsetter etter dette.

– Biometriske data som er fingeravtrykk er personlige. Man kan se for seg at fingeravtrykk kan plasseres på en kunstig finger bare basert på slike rådata-filer. Det verste når digitale fingeravtrykk kommer på avveie, så er det helt umulig for eieren å endre det, sier professor Angela Sasse ved University College i London til BBC.

HTC mangler sikkerhetstesting

Hun sammenligner lagring av fingeravtrykksdata ukryptert var som å skrive sikre passord på en klistrelapp, og lurer på om HTC i det hele tatt sikkerhetstestet produktene sine.

– Det holder at et slikt fingeravtrykksystem avsløres som svakt og ubrukelig før det ødelegger tilliten kundene må ha til slike sikkerhetssystemer, advarer Sasse.

Forskerne som fant sikkerhetshullet, meldte den til HTC før de annonserte den under Black Hat-sikkerhetskonferansen i Las Vegas. HTC skal ha fikset feilen. De har ikke villet kommentere blunderen.

It-bransjen