اچتیسی One Max اثر انگشتها را در دسترس اپهای متفرقه قرار میداده
بر اساس گزارشی از گروه امنیتی تحقیقاتی FireEye Labs، اچتیسی در حفظ اثر انگشتهایی که روی اسمارت فونهایش ذخیره میشده ناموفق بوده و هر نرمافزار متفرقهای میتوانسته به اطلاعات اثر انگشتها روی این اسمارت فونها دسترسی پیدا کند. این گروه به این موضوع پی برده که اچتیسی One Max که دو سال پیش عرضه شده و به حسگر اثر انگشت مجهز است، اثر انگشتهایی که اسکن میکرده را در جایی ناامن و در دسترس قرار میداده. این بدان معنا است که هر نرمافزاری که روی این دیوایس نصب میشده میتوانسته به اطلاعات اثر انگشتهای ذخیره شده روی آن دیوایس دسترسی پیدا کند؛ اطلاعاتی که اگر در اختیار یک بدافزار قرار داده شود میتواند مشکلات جدی و بزرگی به دنبال داشته باشد. FireEye اعلام کرده که اچتیسی بعد از اخطار گرفتن در مورد این نقطه ضعف، مشکل را رفع کرده است.
One Max تمام اطلاعات اثر انگشتها را در یک فایل bitmap مخصوص ذخیره میکرده، فایلی که FireEye به راحتی توانست به آن دسترسی پیدا کند و از طریق اطلاعات موجود در آن فایل به اسکنهایی دقیق از اثر انگشتهای ذخیره شده روی آن دیوایس برسد. One Max حتی هر بار که یک اسکن جدید از یک اثر انگشت میگرفته، اسکنهای قبلی را به روز رسانی میکرده، پس فرد سودجو اگر میخواسته میتوانسته چندین اسکن اثر انگشت به دست آورد. اچتیسی میگوید که این مشکل روی باقی دیوایسهایش وجود ندارد. یک سخنگو از طرف شرکت اچتیسی گفته که مثل همیشه، اچتیسی امنیت کاربران خودش را به شدت جدی میگیرد و آن را در اولویت کارهای خودش قرار میدهد.
FireEye ذکر کرده که بقیه گوشیهای مجهز به حسگر اثر انگشت هم ممکن است همین مشکل را داشته باشند، هر چند فقط از One Max در گزارش خودش نام برده. این گزارش همچنین حاکی از آن است که برخی از گوشیها در حفظ امنیت کامل حسگر اثر انگشت خود موفق نبودهاند، چون همزمان با اسکن گرفتن از یک اثر انگشت، اپهای متفرقه میتوانند به اطلاعات مربوط به اثر انگشتها در این دیوایسها دسترسی پیدا کنند. این مشکل در اچتیسی One Max، سامسونگ گلکسی اس ۵ و چند دیوایس دیگر که FireEye از آنها نام نبرده کشف شده است؛ البته بعد از اینکه به شرکتهای سازنده در مورد این مشکل اطلاع رسانی شد، این حفره امنیتی در تمامی این گوشیها مسدود شد. ولی سامسونگ هنوز به اخطارهای مربوط به این موضوع پاسخ نداده است.
همانطور که Chris Soghoian، محقق امنیتی و تحلیلگر سیاسی اتحادیه آزادیهای مدنی آمریکا میگوید، اچتیسی در حال حاضر از طرف کمیسیون تجارت فدرال دستور دارد که کاربران خود را در مورد امنیت گمراه نکند. این دستور به خاطر آن است که اچتیسی پیش از این نتوانسته بود در حفظ امنیت میلیونها عدد از دیوایسهای خود اقدامات لازم و کافی را انجام دهد. بخشی از این عدم موفقیت به این خاطر بوده که این شرکت آموزشهای امنیتی لازم را به مهندسان خود نداده و نتوانسته نرمافزارها را از نظر امنیتی به درستی مورد بازبینی قرار دهد. این موضوع مربوط میشود به فوریه سال ۲۰۱۳، چند ماه قبل از اینکه One Max راهی بازار شود.
One Max هیچ وقت نتوانست به موفقیت چشمگیری برسد، و به خاطر همین عدم محبوبیت هم هنوز مشخص نیست که آیا تا به حال اصلا این مشکلات امنیتی در One Max مورد سوء استفاده قرار گرفته یا نه. ولی هنوز هم دلیل خوبی برای نگران بودن در مورد چنین موضوعی وجود دارد. همانطور که FireEye در گزارش خود مینویسد، شما نمیتوانید اثر انگشت خود را مثل پسورد تغییر دهید. وقتی اثر انگشت شما لو برود، دیگر برای همیشه احتمال سوء استفاده هست.