关键马脚在于加密的PIN码仅存储于设备本地,且未与身份辨认存储区进行靠得住绑定。进击者只需删除几个体系办事文件,即可重置旧PIN码、设置新暗码,进而完全拜访先前已验证过的身份数据。此外,设备文件中被发明存在许可封闭生物辨认认证(将参数值从"true"修改为"false")以及重置PIN码输入测验测验次数的设置项。穆尔指出,这些操作无需复杂对象,数分钟内即可完成。
真正令人震动的是,该应用在用户设备上以未加密情势存储了"原始"生物辨认数据及自摄影片。与欧盟委员会关于过程保密与匿名的声明相悖,这些文件从未被体系主动删除。随后证实,上述问题并非涌如今测试样本中,而是存在于可供下载的最终版软件中。
欧盟委员会在评论该情况时承认存在缺点,但批驳了关于无能的责备。官方代表表示,该应用尚处于完美阶段,当前版本并非用于实际安排。他们承诺所有发明的马脚将在近期内修复,最终产品版本将在稍后宣布。
发表评论 取消回复