搜索
查看: 870|回复: 0

研究人员可远程窃取安卓手机上的指纹数据

[复制链接]

5

主题

27

帖子

64

积分

我是新手

Rank: 1

积分
64
发表于 2016-11-5 12:56:45 | 显示全部楼层 |阅读模式
FireEye安全研究人员发现了四种新的方式来攻击安卓设备,可以在用户毫无察觉的情况下远程提取用户指纹信息。

安全研究人员目前已经发现了四种新的方式攻击安卓设备,可以在用户毫无察觉的情况下远程提取用户指纹信息。这种攻击称为“指纹传感器监视攻击”。研究人员张玉龙(Yulong Zhang)透露,黑客可以利用这种方法大规模远程获取指纹。

远程攻击安卓指纹

在今年BlackHat黑帽大会上一场名为“移动设备上的指纹:滥用和泄露”的讨论会上,火眼(FireEye)的研究人员魏涛(Tao Wei)和张玉龙(Yulong Zhang)演示了他们的研究成果,并提出了几种新方法攻击安卓设备,提取用户指纹数据。

这种新的攻击方式主要针对带有指纹传感器的安卓设备。相比于输入密码的认证方式,指纹传感器能够使用户通过简单地触摸手机屏幕,就能够进行身份验证。

目前研究人员已经在HTC One Max和三星Galaxy S5上验证了这种攻击方式,通过这种方法,他们能够秘密地从设备上获取指纹图像,这是因为供应商未能很好地锁定指纹传感器。

这种攻击方法影响知名手机设备,包括三星、HTC和华为。

指纹与密码

换个角度想一下,指纹被盗往往会比密码被盗的情况更糟糕,因为当密码泄露时你可以修改密码,但却不能更换你的指纹。张玉龙说道:

“在这种类型的攻击中,受害者的指纹数据会直接落入攻击者的手中。在受害者以后的生活中,攻击者可以一直使用他们的指纹数据,并能够利用指纹做其他恶意的事情。”
不过好消息是,通过为安卓设备上的指纹数据进行加密,这个问题就能够很容易地得到解决。此外,在研究人员向有关手机厂商发布了安全报告之后,这些受影响的供应商就发布了安全补丁。然而,研究人员并没有共享任何的POC详细信息,也未说明如何远程执行指纹窃取攻击。不过需要注意的是,谷歌并没有在安卓操作系统上正式支持指纹功能,但它很快就会在安卓M更新上支持指纹传感器。

苹果设备安全

苹果用户暂时不用担心这种攻击,因为目前来看iPhone和iPad的touch ID还是“相当安全的”,因为它使用一个加密密钥对指纹扫描仪的数据进行了加密,使得即使黑客获得了访问权限也无法读取到指纹数据。
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表