De vingerafdruksensor op de Galaxy S5 en een aantal andere Android-smartphones kan worden misbruikt. Aanvallers kunnen vingerafdrukken uitlezen vanaf de sensor, ontdekten onderzoekers. De kwetsbaarheid is alleen aanwezig in oudere Android-versies dan Lollipop.
Op Android-smartphones wordt de vingerafdruk opgeslagen in een beveiligde zone, die niet vanuit de kernel kan worden uitgelezen en zodoende veilig zou moeten zijn voor aanvallers. Zij kunnen hun pijlen echter wel richten op de input van de sensor, mits oudere versies dan Android 5.0 worden gebruikt, ontdekten twee beveilgingsonderzoekers. Ze presenteren hun bevindingen deze week op de RSA Conference in San Francisco.
Op die manier kunnen de aanvallers nog steeds niet bij de versleutelde zone, maar ze kunnen dan wel de input van de sensor uitlezen op het moment dat een gebruiker zijn vinger op de sensor legt. Onder meer op de Galaxy S5 van Samsung is het probleem te misbruiken, schrijft Forbes. Een gebruiker moet dan wel toegang krijgen op systeemniveau tot een Android-telefoon: dat is een stap lager dan root, maar wel hoger dan 'normale' toegang voor applicaties. Op een aantal andere Android-telefoons, die Forbes niet bij naam noemt, moet een aanvaller wel root-toegang hebben. Een aanvaller kan die toegang krijgen door beveiligingsproblemen in Android te misbruiken.
Overigens is het probleem eenvoudig te omzeilen: gebruikers moeten updaten naar Android 5.0 Lollipop. Met die Android-versie is het probleem uit de wereld, stellen de onderzoekers. Voor de Galaxy S5 is Android 5.0 al beschikbaar; het is onduidelijk of dat ook voor de andere kwetsbare toestellen geldt, aangezien de onderzoekers die niet bij naam noemen. Overigens hebben de Galaxy S6 en S6 Edge ook een vingerafdrukscanner, maar die telefoon wordt met Android 5.0 geleverd en is dus niet kwetsbaar.