安全人員稱,安卓旗艦手機(jī)已經(jīng)開(kāi)始標(biāo)配指紋識(shí)別,但是在安全性上卻很脆弱,至少無(wú)法和蘋果的Touch ID相提并論。
拉斯維加斯黑帽2015大會(huì)上,F(xiàn)ireEye安全公司的Yulong Zhang、Tao Wei展示了如何攻擊安卓設(shè)備并從中竊取用戶指紋的新方法,而且?guī)缀踹m合任意安卓設(shè)備,無(wú)論是三星、HTC、華為都無(wú)法逃脫。
破解指紋識(shí)別、盜取錢財(cái)演示
他們一共發(fā)現(xiàn)了四種攻擊方式,其中的“指紋傳感器監(jiān)視攻擊”最為危險(xiǎn),甚至可以大規(guī)模發(fā)動(dòng)遠(yuǎn)程攻擊。在演示中,Galaxy S5、HTC One Max都輕松淪陷,指紋被攻擊者拿到并且可以為所欲為。
惡意軟件可以直接讀取保存的指紋
很顯然,安卓廠商急于上馬新技術(shù),但在安全性方面考慮不足,并沒(méi)有徹底保護(hù)好用戶的指紋。
攻擊者可以從手機(jī)內(nèi)存、存儲(chǔ)中盜竊你的指紋
更糟糕的是,部分設(shè)備的指紋傳感器是由系統(tǒng)權(quán)限保護(hù)的,而非最底層的Root權(quán)限,這使得攻擊更為容易。
報(bào)告同時(shí)指出,蘋果iPhone的指紋識(shí)別相當(dāng)安全(pretty secure),直接在指紋傳感器內(nèi)就進(jìn)行了加密。
當(dāng)然了,指紋識(shí)別安全缺陷不是智能手機(jī)的專利,筆記本上同樣也有類似的問(wèn)題。