日期:2016-4-27(原创文章,禁止转载)
安卓手机指纹遭黑客攻破 专家称防范应软硬件结合
www.mobipop.cn8月7日消息日前举行的黑帽技术大会上有黑客演示了攻击Android设备,并获取用户指纹的方法。根据说明,黑客并不需要完全的root权限即可通过指纹传感器获取用户的指纹信息专业的网站运营平台。有业内手机安全专家指出,指纹识别的软件方面最易产生安全风险,防范上要“软硬件结合”。
据了解,该项演示是在HTC One Max和三星Galaxy S5上进行的ecshop网上商城模板,黑客通过一种名为“指纹传感器间谍攻击”的攻击能“远程大规模获取用户指纹”。由于厂商没有完全锁死指纹传感器,黑客可以从受影响的设备中秘密获取用户的指纹图像,而且只需“system”权限而不是“root”权限。一旦攻击得手,黑客能继续悄悄获取使用传感器的任何用户的指纹,并且是通过远程的方式获取。
值得注意的是,受影响的厂商远远不止这几家,且这项攻击对一些配备了指纹识别传感器的高端笔记本也同样适用。
目前,指纹识别此前主要被用于身份认证、移民和犯罪记录方面,而随着移动支付和解锁设备等功能的拓展,指纹识别的应用领域变得更加广泛。因此,如果指纹信息大量流入黑客手中,完全有可能被用于犯罪行为。
360奇酷手机安全专家马冲表示,指纹安全应该引起社会的广泛关注,未来一两年会有越来越多的手机将指纹传感器作为标配设备。但他同时指出,黑帽大会上进行指纹攻击演示的两款手机属于最早一批配备指纹传感器的Android手机,功能比较初级,新一代产品会在安全性上有很大的进步,并不输于苹果iPhone。
对于新一代Android手机的指纹保护,马冲解释,指纹识别其实包含传感器获取指纹和存储指纹信息两个方面:目前的方案中指纹信息存储在一个权限极高的区域,连手机的CPU也不能直接访问具体数据,而对传感器的访问权限需要在手机系统上做出防范。
马冲指出,智能新手机的指纹安全需要软件和硬件的配合才能保证,同时也需要有更多开发者的努力才能充分发挥指纹识别在安全和便利的优势。