指紋識別不靠譜?
在近日剛結束的世界黑帽大會BlackHat上,黑客為智能手機準備了的破解技術,這一次攻擊依舊是Android系統手機的指紋識別功能。隨著該功能向中低端手機延伸,也成為黑客攻擊的目標。此次,就有黑客發現,在Android指紋識別框架下存在重大漏洞,他們可以通過該漏洞解鎖屏幕、安裝應用,更嚴重的是他們甚至可以完成支付動作。這到底是怎么一回事?文/廣州日報記者 李光焱
又是Android手機
據報道稱,來自中國的魏濤、張玉龍(均為音譯)兩位黑客發現了這一漏洞。黑客甚至還可以從受影響的Android手機中拷貝用戶的指紋,極大地威脅用戶安全。據悉,目前黑客攻破了HTC One Max、三星Galaxy S5的指紋密碼鎖。截稿時,兩家廠商未對記者的采訪做出回應。
此漏洞出現在Android系統層級,換言之,任何配備了指紋解鎖的Android手機都將受到威脅。記者了解到,目前包括三星、HTC、LG、華為、中興、魅族、OPPO、vivo、大神等多個手機廠商推出的產品,均采用了指紋識別技術,而且毫無例外地都是Android智能手機。
與此相反,在對蘋果iPhone的指紋識別功能(Touch ID)的攻擊中,黑客并沒有成功。黑客不僅無法繞過Touch ID,更不能盜走用戶的指紋信息。“還是iOS強,蘋果公司對權限的把握還是很厲害。”國內一家安全軟件廠商人士略帶調侃地表示。
當然,作為按壓式識別方式,蘋果的Touch ID依然可以用指紋膜(需要用戶的指紋“原型”)騙過,但相比被黑客攻破這一點,還是有很大的不同。值得慶幸的是,谷歌應該會馬上修補漏洞,預計不久會以更新的方式彌補BUG。
硬件層加密更可靠
作為封閉系統,iOS更安全一直都是iPhone相比Android手機最大的優勢。使用了指紋識別加密的iPhone很難通過技術手段來獲取其中的內容,而使用了指紋識別的Android手機卻容易就通過刷機的方式來破解。
不過,鑒于黑帽大會每次都要搞點“新料”吸引注意,稱所有Android手機的指紋識別功能都會被攻破顯然夸大其辭了。
“魅族的做法和蘋果類似,提供的是芯片級的保護,有一個TrustZone技術,保證指紋識別的安全,即便手機被Root后也能保證安全。”魅族科技相關人士向記者解釋,TrustZone基本不會被破解,這種技術的實現相當于銀行的U盾,它將用戶重要的身份信息存儲在一個獨立的系統空間里,在獲取用戶身份信息時僅起到比對的作用。
奇酷公司相關負責人則表示,目前即便是千元級的智能機,其指紋識別功能也采用硬件加密,用戶的手機即便被ROOT了,對方也拿不走你的指紋密碼。
前Google安全大師、安全領域專家Shuman Ghosemajumder表示,指紋掃描必須只基于硬件,掃描裝置不能通過軟件激活,或是將指紋信息傳送給軟件。如果該裝置能夠被軟件激活,則無法避免被惡意代碼攻擊的風險。