We blijven praten over privacy en laten we eens kijken hoe Xiaomi niet erg dik lijkt op het stuk. Enige tijd geleden stonden we voor de netelige vraag welke data (of niet) door het merk worden gebruikt en hoe, bijvoorbeeld in India, het probleem is opgelost met een nieuwe versie van MIUI. Dat komt trouwens vandaag uit. Maar hier zullen we een fout zien, een fout, ontdekt door een lid van XDA op Reddit met betrekking tot de Xiaomi MI 9T vingerafdruk-ID-sensor: dit zou de sensor zelf in één veranderen fotocamera sommige gevoelige gegevens in gevaar brengen.
Een fout ontdekt in de vingerafdruksensor van Xiaomi: een bepaald apparaat zou via een app hebben kunnen opnemen
In een Twitter-bericht, deXDA Developers Editor-in-Chief heeft gebruikers bewust gemaakt van een belangrijke beveiligingsfout. Het heeft in feite de getuigenis van een gebruiker gepubliceerd op Reddit. Zou je ooit hebben gezegd dat a vingerafdruksensor kan veranderen in een camera? Maak je geen zorgen, de resolutie van deze sensor is minimaal en hoe gevaarlijk de fout ook is, je kunt niet goed door de lens kijken. Laten we de vraag echter bekijken, want ondanks de slechte beeldkwaliteit waren ze dat wel grote twijfels.
Een Redditor vond een verborgen activiteit op een Xiaomi-telefoon waarmee je de onbewerkte feed van de optische vingerafdrukscanner onder het scherm van Goodix kunt zien.https://t.co/RKpjDTdgzG
OEM's zouden deze foutopsporings-apps echt niet in productie-builds moeten laten ... pic.twitter.com/fnEpvPZtol
- Mishaal Rahman (@MishaalRahman) 10 Augustus 2020
Kortom, een gebruiker zou een verborgen activiteit op de zijne hebben gevonden I 9T wat toestaat zie de feed met behulp van de sensor onder het display die wordt gebruikt om het apparaat te ontgrendelen. Kortom, zoals we hadden verwacht, wordt dat gebruikt sensor als een camera. Met de app Activiteitenstarter, kan deze gebruiker niet vinden schijnbaar verborgen activiteiten aan de rest van de gebruikers. Dit betekent echter niet dat het probleem niet bestaat, integendeel: elke aanvaller kan de applicatie downloaden op onze smartphone en registreer belangrijke gegevens.
Zoals eerder vermeld, de de kwaliteit van de sensor die het beeld van de vingertop vastlegt, is erg slecht: het zou zelfs voor een deskundige moeilijk zijn om gevoelige gegevens vast te leggen. Maar het probleem is upstream: biometridale gegevens moeten worden beschermd door Trusted Execution Environment, een superveilig gedeelte van de smartphone. De certificering hiervan bescherming is verplicht (althans in Europa) en als een apparaat het niet doorgeeft, kan het niet worden gecertificeerd en op de markt worden gebracht. Dus de vraag die we onszelf stellen is: waarom is er zo'n beveiligingslek? Zijn er niet voldoende controles uitgevoerd?
Via | Android Authority, Twitter