HTC niet secuur met vingerafdrukken
HTC is niet altijd even secuur met de opslag van vingerafdrukken. Uit onderzoek van beveilingsfirma FireEye bleek dat vingerafdrukken op de HTC One Max als niet-beveiligende en openbare bestanden worden opgeslagen.
De HTC One Max was HTC's eerste smartphone met een vingerafdrukscanner (aan de achterzijde). De onderzoekers van FireEye ontdekten echter dat de vingerafdrukken op het toestel worden opgeslagen als een onbeveiligd .bmp-bestand in een openbare folder. Daardoor is het voor hackers eenvoudig mogelijk om de vingerafdruk te stelen en te misbruiken voor eigen doeleienden.
Een hacker kan bijvoorbeeld een gebruiker een nep-lockscreen tonen, die met een vingerafdruk ontgrendeld moet worden, terwijl in de praktijk de vingerafdruk wordt gebruikt om het illegaal overschrijven van geld goed te keuren. Wat de zaak voor hackers aantrekkelijk maakt is dat elke keer dat de vingerafdruksensor wordt gebruikt, de vingerprint-bitmap ook wordt bijgewerkt. Zo kan de hacker op de achtergrond met elke swipe van het slachtoffer zijn actuele vingerafdrukken blijven verzamelen.
HTC heeft gemeld op de hoogte te zijn van het rapport van FireEye over de vingerafdrukbeveiliging. Het bedrijf zegt het probleem voor de HTC One Max inmiddels in "alle regio's" te hebben opgelost en dat het probleem "niet voorkomt op andere HTC-toestellen". Een van de weinige andere HTC-toestellen met een vingerafdruksensor is de HTC One M9+. Volgens FireEye kent ook de opslag van vingeradrukken op veel andere smartphones een slechte beveiliging.