Continuiamo a parlare di privacy e vediamo come Xiaomi sembra non essere molto spesso sul pezzo. Già tempo addietro abbiamo affrontato la spinosa questione dei dati utilizzati (o no) dal brand e di come, ad esempio in India, si sia risolto il problema con una nuova versione della MIUI. Che tra l’altro esce proprio oggi. Ma in questa sede vedremo un errore, una falla, scovata da un membro di XDA su Reddit riguardante il sensore ID delle impronte digitali di Xiaomi MI 9T: questo trasformerebbe il sensore stesso in una fotocamera mettendo in pericolo alcuni dati sensibili.
Una falla scoperta nel sensore fingerprint di Xiaomi: un dispositivo in particolare avrebbe permesso, tramite app, di registrare attraverso di esso
In un post su Twitter, l’Editor-in-Chief di XDA Developers ha messo a conoscenza gli utenti di una importante falla di sicurezza. Ha infatti riportato la testimonianza di un utente pubblicata su Reddit. Avreste mai detto che un sensore per le impronte digitali potesse trasformarsi in una fotocamera? Niente paura, la risoluzione di questo sensore è minima e per quanto pericolosa la falla sia non permette di vedere bene attraverso la lente. Vediamo la questione però, perché nonostante la qualità dell’immagine ripresa sia scarsa, sono stati sollevati grossi dubbi.
A Redditor found a hidden activity on a Xiaomi phone that lets you see the raw feed from Goodix’s optical under-display fingerprint scanner.https://t.co/RKpjDTdgzG
OEMs really shouldn’t be leaving these debug apps in production builds… pic.twitter.com/fnEpvPZtol
— Mishaal Rahman (@MishaalRahman) August 10, 2020
In poche parole un utente avrebbe trovato un’attività nascosta sul suo Mi 9T che permette di vedere il feed utilizzando il sensore sotto il display che serve per lo sblocco del device. In poche parole, come anticipavamo, viene utilizzato quel sensore come una fotocamera. Con l’app Activity Launcher, questo utente è riuscito a trovare attività apparentemente nascoste al resto degli utenti. Ciò però non significa che il problema non sussista, anzi: qualsiasi malintenzionato potrebbe scaricare l’applicazione sul nostro smartphone e registrare dati importanti.
Come detto poc’anzi, la qualità del sensore che cattura l’immagine del polpastrello è scarsissima: sarebbe difficile anche per un esperto registrare dati sensibili. Il problema però è a monte: i dati biometridi dovrebbero essere protetti da Trusted Execution Environment, un’area super sicura dello smartphone. La certificazione di questa protezione è obbligatoria (almeno in Europa) e se un device non la passa, non può essere certificato e immesso sul mercato. Dunque la domanda che ci poniamo è: perché esiste una falla di sicurezza del genere? Non sono stati fatti controlli adeguati?
Via | Android Authority, Twitter