Одна конторка на деньги заказчика провела тестирование доступных ей сканеров отпечатков пальца, которые разблокируют хранилище секретов. Обойти удалось все модели сканеров.
Вместо заключения
Как хорошие мальчики, мы сообщили о наших находках вендорам тестируемых устройств. Ответом нас удостоили только Microsoft, Samsung и Apple. Первые сказали, что это не уязвимость. Вторые — что работает, как и должно. Третьи задали несколько вопросов и больше к нам не возвращались.
Какие из этого можно сделать выводы? Хоть нам и удалось обойти все устройства, мы точно можем сказать, что с некоторыми из них это сделать сложнее, чем с другими. Поэтому, если вы компания, которая хочет использовать отпечатки пальцев, но при этом задумывается и о безопасности, то лучше протестируйте устройства перед закупкой. Если вы покупаете какое-то устройство со сканером отпечатков для себя и переживаете, то попробуйте найти отзывы, документацию на сканер, статьи с результатами тестирования. Если вы вендор, то делайте безопасные устройства. А небезопасные не делайте.
PS. В линуксах мне нигде не попадались рабочие сканеры отпечатка, хотя говорят что они существуют, в общем случае вендопроблемы
