В смартфонах OnePlus 7 Pro обнаружена уязвимость, позволяющая посторонним получать отпечатки пальцев пользователей. Хотя уязвимость сложно проэксплуатировать, по словам экспертов, она проливает свет на более серьезную проблему.
Проблема была обнаружена в июле 2019 года специалистами из Synopsys Cybersecurity Research Center и исправлена производителем в январе 2020 года путем обновления прошивки.
Согласно уведомлению, уязвимость может быть проэксплуатирована вредоносным Android-приложением с правами суперпользователя на уязвимом устройстве OnePlus 7 Pro для получения растровых изображений отпечатков пальцев из доверенной среды исполнения (TEE) – места для изоляции и защиты кода и конфиденциальных данных от несанкционированного доступа.
Злоумышленник может восстановить отпечатки пальцев владельца смартфона и создать их копию, которая позволит ему разблокировать другие устройства, где используется биометрическая аутентификация.
Проэксплуатировать уязвимость на практике очень сложно. Тем не менее, ее наличие указывает на проблему с TEE и доверенными приложениями.