اچ‌تی‌سی One Max اثر انگشت‌ها را در دسترس اپ‌های متفرقه قرار می‌داده

بر اساس گزارشی از گروه امنیتی تحقیقاتی FireEye Labs، اچ‌تی‌سی در حفظ اثر انگشت‌هایی که روی اسمارت فون‌هایش ذخیره می‌شده ناموفق بوده و هر نرم‌افزار متفرقه‌ای می‌توانسته به اطلاعات اثر انگشت‌ها روی این اسمارت فون‌ها دسترسی پیدا کند. این گروه به این موضوع پی برده که اچ‌تی‌سی One Max که دو سال پیش عرضه شده و به حسگر اثر انگشت مجهز است، اثر انگشت‌هایی که اسکن می‌کرده را در جایی ناامن و در دسترس قرار می‌داده. این بدان معنا است که هر نرم‌افزاری که روی این دیوایس نصب می‌شده می‌توانسته به اطلاعات اثر انگشت‌های ذخیره شده روی آن دیوایس دسترسی پیدا کند؛ اطلاعاتی که اگر در اختیار یک بدافزار قرار داده شود می‌تواند مشکلات جدی و بزرگی به دنبال داشته باشد. FireEye اعلام کرده که اچ‌تی‌سی بعد از اخطار گرفتن در مورد این نقطه ضعف، مشکل را رفع کرده است.

One Max تمام اطلاعات اثر انگشت‌ها را در یک فایل bitmap مخصوص ذخیره می‌کرده، فایلی که FireEye به راحتی توانست به آن دسترسی پیدا کند و از طریق اطلاعات موجود در آن فایل به اسکن‌هایی دقیق از اثر انگشت‌های ذخیره شده روی آن دیوایس برسد. One Max حتی هر بار که یک اسکن جدید از یک اثر انگشت می‌گرفته، اسکن‌های قبلی را به روز رسانی می‌کرده، پس فرد سودجو اگر می‌خواسته می‌توانسته چندین اسکن اثر انگشت به دست آورد. اچ‌تی‌سی می‌گوید که این مشکل روی باقی دیوایس‌هایش وجود ندارد. یک سخنگو از طرف شرکت اچ‌تی‌سی گفته که مثل همیشه، اچ‌تی‌سی امنیت کاربران خودش را به شدت جدی می‌گیرد و آن را در اولویت کارهای خودش قرار می‌دهد.

FireEye ذکر کرده که بقیه گوشی‌های مجهز به حسگر اثر انگشت هم ممکن است همین مشکل را داشته باشند، هر چند فقط از One Max در گزارش خودش نام برده. این گزارش همچنین حاکی از آن است که برخی از گوشی‌ها در حفظ امنیت کامل حسگر اثر انگشت خود موفق نبوده‌اند، چون همزمان با اسکن گرفتن از یک اثر انگشت، اپ‌های متفرقه می‌توانند به اطلاعات مربوط به اثر انگشت‌ها در این دیوایس‌ها دسترسی پیدا کنند. این مشکل در اچ‌تی‌سی One Max، سامسونگ گلکسی اس ۵ و چند دیوایس دیگر که FireEye از آنها نام نبرده کشف شده است؛ البته بعد از اینکه به شرکت‌های سازنده در مورد این مشکل اطلاع رسانی شد، این حفره امنیتی در تمامی این گوشی‌ها مسدود شد. ولی سامسونگ هنوز به اخطارهای مربوط به این موضوع پاسخ نداده است.

همان‌طور که Chris Soghoian، محقق امنیتی و تحلیل‌گر سیاسی اتحادیه آزادی‌های مدنی آمریکا می‌گوید، اچ‌تی‌سی در حال حاضر از طرف کمیسیون تجارت فدرال دستور دارد که کاربران خود را در مورد امنیت گمراه نکند. این دستور به خاطر آن است که اچ‌تی‌سی پیش از این نتوانسته بود در حفظ امنیت میلیون‌ها عدد از دیوایس‌های خود اقدامات لازم و کافی را انجام دهد. بخشی از این عدم موفقیت به این خاطر بوده که این شرکت آموزش‌های امنیتی لازم را به مهندسان خود نداده و نتوانسته نرم‌افزارها را از نظر امنیتی به درستی مورد بازبینی قرار دهد. این موضوع مربوط می‌شود به فوریه سال ۲۰۱۳، چند ماه قبل از اینکه One Max راهی بازار شود.

One Max هیچ وقت نتوانست به موفقیت چشم‌گیری برسد، و به خاطر همین عدم محبوبیت هم هنوز مشخص نیست که آیا تا به حال اصلا این مشکلات امنیتی در One Max مورد سوء استفاده قرار گرفته یا نه. ولی هنوز هم دلیل خوبی برای نگران بودن در مورد چنین موضوعی وجود دارد. همان‌طور که FireEye در گزارش خود می‌نویسد، شما نمی‌توانید اثر انگشت خود را مثل پسورد تغییر دهید. وقتی اثر انگشت شما لو برود، دیگر برای همیشه احتمال سوء استفاده هست.