指紋識別不靠譜?
在近日剛結(jié)束的世界黑帽大會BlackHat上,黑客為智能手機(jī)準(zhǔn)備了的破解技術(shù),這一次攻擊依舊是Android系統(tǒng)手機(jī)的指紋識別功能。隨著該功能向中低端手機(jī)延伸,也成為黑客攻擊的目標(biāo)。此次,就有黑客發(fā)現(xiàn),在Android指紋識別框架下存在重大漏洞,他們可以通過該漏洞解鎖屏幕、安裝應(yīng)用,更嚴(yán)重的是他們甚至可以完成支付動作。這到底是怎么一回事?文/廣州日報記者 李光焱
又是Android手機(jī)
據(jù)報道稱,來自中國的魏濤、張玉龍(均為音譯)兩位黑客發(fā)現(xiàn)了這一漏洞。黑客甚至還可以從受影響的Android手機(jī)中拷貝用戶的指紋,極大地威脅用戶安全。據(jù)悉,目前黑客攻破了HTC One Max、三星Galaxy S5的指紋密碼鎖。截稿時,兩家廠商未對記者的采訪做出回應(yīng)。
此漏洞出現(xiàn)在Android系統(tǒng)層級,換言之,任何配備了指紋解鎖的Android手機(jī)都將受到威脅。記者了解到,目前包括三星、HTC、LG、華為、中興、魅族、OPPO、vivo、大神等多個手機(jī)廠商推出的產(chǎn)品,均采用了指紋識別技術(shù),而且毫無例外地都是Android智能手機(jī)。
與此相反,在對蘋果iPhone的指紋識別功能(Touch ID)的攻擊中,黑客并沒有成功。黑客不僅無法繞過Touch ID,更不能盜走用戶的指紋信息。“還是iOS強(qiáng),蘋果公司對權(quán)限的把握還是很厲害。”國內(nèi)一家安全軟件廠商人士略帶調(diào)侃地表示。
當(dāng)然,作為按壓式識別方式,蘋果的Touch ID依然可以用指紋膜(需要用戶的指紋“原型”)騙過,但相比被黑客攻破這一點,還是有很大的不同。值得慶幸的是,谷歌應(yīng)該會馬上修補漏洞,預(yù)計不久會以更新的方式彌補BUG。
硬件層加密更可靠
作為封閉系統(tǒng),iOS更安全一直都是iPhone相比Android手機(jī)最大的優(yōu)勢。使用了指紋識別加密的iPhone很難通過技術(shù)手段來獲取其中的內(nèi)容,而使用了指紋識別的Android手機(jī)卻容易就通過刷機(jī)的方式來破解。
不過,鑒于黑帽大會每次都要搞點“新料”吸引注意,稱所有Android手機(jī)的指紋識別功能都會被攻破顯然夸大其辭了。
“魅族的做法和蘋果類似,提供的是芯片級的保護(hù),有一個TrustZone技術(shù),保證指紋識別的安全,即便手機(jī)被Root后也能保證安全。”魅族科技相關(guān)人士向記者解釋,TrustZone基本不會被破解,這種技術(shù)的實現(xiàn)相當(dāng)于銀行的U盾,它將用戶重要的身份信息存儲在一個獨立的系統(tǒng)空間里,在獲取用戶身份信息時僅起到比對的作用。
奇酷公司相關(guān)負(fù)責(zé)人則表示,目前即便是千元級的智能機(jī),其指紋識別功能也采用硬件加密,用戶的手機(jī)即便被ROOT了,對方也拿不走你的指紋密碼。
前Google安全大師、安全領(lǐng)域?qū)<襍human Ghosemajumder表示,指紋掃描必須只基于硬件,掃描裝置不能通過軟件激活,或是將指紋信息傳送給軟件。如果該裝置能夠被軟件激活,則無法避免被惡意代碼攻擊的風(fēng)險。