HTC Simpan Sidik Jari Penggunanya dengan Ceroboh

Liputan6.com, Jakarta - Para peneliti di FireEye telah menemukan bahwa data yang dapat digunakan untuk melakukan kloning sidik jari pengguna disimpan sebagai fail gambar yang tidak terenkripsi, yang dapat diketahui pihak lain.

Empat peneliti keamanan, seperti diberitakan oleh The Guardian dan dikutip Minggu (23/8/2015), menemukan bahwa fail gambar tersebut, yang merupakan replika jelas sidik jari pengguna, bisa dicuri oleh aplikasi jahat atau peretas (hacker).

"Sementara beberapa vendor mengklaim bahwa mereka menyimpan sidik jari pengguna terenkripsi di partisi sistem, mereka sebenarnya menempatkan sidik jari pengguna dalam plain text dan di tempat yang keliru," ungkap para penulis.

"Di HTC One X Max sidik jari disimpan sebagai /data/dbgraw.bmp dengan pengaturan izin 0666 (bisa diketahui pihak lain). Setiap proses atau aplikasi yang tidak melalui privilege tertentu bisa mencuri sidik jari pengguna dengan membaca fail ini," lanjut mereka.

Para peneliti mempresentasikan temuan mereka pada konferensi keamanan Black Hat di Las Vegas. Mereka mampu menarik gambar sidik jari dari smartphone dan melihat detail yang cukup jelas. Gambar sidik jari tersebut agak kabur di bagian bawah dan sensor sidik jari memiliki karakteristik yang mampu direproduksi.

(why/dew)