Patuloy kaming nag-uusap privacy at tingnan natin kung paanong ang Xiaomi ay tila hindi madalas na nasa marka. Ilang oras na ang nakalipas, tinalakay namin ang mahirap na isyu ng data na ginamit (o hindi) ng tatak at kung paano, halimbawa sa India, nalutas ang problema sa isang bagong bersyon ng MIUI. Na kung saan ay lumalabas ngayon. Ngunit dito makikita natin ang isang error, isang kapintasan, na natuklasan ng isang miyembro ng XDA sa Reddit tungkol sa Xiaomi MI 9T fingerprint ID sensor: gagawin nito ang sensor mismo sa isang camera nanganganib sa ilang sensitibong data.
Isang depekto na natuklasan sa sensor ng fingerprint ng Xiaomi: isang partikular na device ang pinapayagan, sa pamamagitan ng app, na mag-record sa pamamagitan nito
Sa isang post sa Twitter, angAng Editor-in-Chief ng XDA Developers ay nagpabatid sa mga user ng isang mahalagang bagay kapintasan sa seguridad. Sa katunayan, iniulat niya ang patotoo ng isang user na na-publish sa reddit. Nasabi mo na ba yan a Maaari bang maging camera ang fingerprint sensor? Huwag mag-alala, ang resolution ng sensor na ito ay minimal at kasing delikado ng depekto, hindi nito pinapayagan kang makakita ng mabuti sa pamamagitan ng lens. Tingnan natin ang bagay bagaman, dahil bagaman ang kalidad ng larawang kinuha ay hindi maganda, sila ay nagdulot ng malubhang pagdududa.
Nakakita ang isang Redditor ng nakatagong aktibidad sa isang Xiaomi phone na hinahayaan kang makita ang raw feed mula sa optical under-display fingerprint scanner ng Goodix.https://t.co/RKpjDTdgzG
Hindi talaga dapat iwanan ng mga OEM ang mga debug app na ito sa mga production build... pic.twitter.com/fnEpvPZtol
- Mishaal Rahman (@MishaalRahman) Agosto 10, 2020
Sa madaling salita ang isang gumagamit ay makakahanap ng isang nakatagong aktibidad sa kanyang 9T kami na nagpapahintulot sa iyo na tingnan ang feed gamit ang sensor sa ilalim ng display na ginagamit upang i-unlock ang device. In short, as we anticipated, yun ang ginagamit sensor parang camera. Gamit ang app Tagapaglunsad ng Aktibidad, nagawang mahanap ng user na ito tila mga nakatagong aktibidad sa iba pang mga gumagamit. Gayunpaman, hindi ito nangangahulugan na ang problema ay hindi umiiral, sa kabaligtaran: sinumang umaatake ay maaaring mag-download ng application sa aming smartphone at itala ang mahahalagang datos.
Gaya ng nabanggit kanina, ang Napakahina ng kalidad ng sensor na kumukuha ng larawan ng dulo ng daliri: Magiging mahirap kahit para sa isang eksperto na magtala ng sensitibong data. Ang problema, gayunpaman, ay upstream: biometric data ay dapat na protektado ng Trusted Execution Environment, isang sobrang secure na lugar ng smartphone. Ang sertipikasyon nito ang proteksyon ay sapilitan (hindi bababa sa Europa) at kung ang isang aparato ay hindi pumasa, hindi ito ma-certify at mailagay sa merkado. Kaya ang tanong na itinatanong natin sa ating sarili ay: bakit umiiral ang gayong kapintasan sa seguridad? Hindi ba naisagawa ang mga sapat na pagsusuri?
Via | Android Authority, kaba