首頁 > 技術(shù) > 正文

安卓出現(xiàn)嚴(yán)重安全漏洞:你的指紋可被輕松破解!

2023-05-23 10:44:18來源:中關(guān)村在線  

近日,騰訊安全玄武實驗室和浙江大學(xué)的研究人員發(fā)表了一篇論文,揭示了一種新的指紋攻擊方法,可以繞過安卓智能手機(jī)上的生物識別驗證。

這種攻擊方法被稱為“BrutePrint”,利用了兩個零日漏洞和指紋傳感器的設(shè)計缺陷,可以通過不斷提交指紋圖像,直到匹配到用戶注冊的指紋,從而解鎖手機(jī)。


【資料圖】

Apple iPhone 13 (A2634) 128GB 星光色 支持移動聯(lián)通電信5G 雙卡雙待手機(jī)【快充套裝】

[經(jīng)銷商]京東商城

[產(chǎn)品售價]

進(jìn)入購買

據(jù)論文介紹,BrutePrint攻擊需要對目標(biāo)手機(jī)進(jìn)行物理訪問,并使用一個成本約為15美元(約合106元人民幣)的設(shè)備,通過串行外設(shè)接口(SPI)與指紋傳感器進(jìn)行通信。

攻擊者還需要從公開的指紋數(shù)據(jù)庫中獲取指紋圖像,并通過神經(jīng)風(fēng)格遷移技術(shù)將其轉(zhuǎn)換為適合目標(biāo)手機(jī)傳感器的格式。通過這樣的方式,攻擊者可以不斷嘗試提交不同的指紋圖像,直到成功匹配。

研究人員還發(fā)現(xiàn)了兩個零日漏洞,分別是Cancel-After-Match-Fail(CAMF)和Match-After-Lock(MAL),可以用來繞過安卓系統(tǒng)對指紋嘗試次數(shù)的限制。CAMF漏洞允許攻擊者在每次提交失敗后取消操作,從而避免計數(shù)器增加;MAL漏洞允許攻擊者在手機(jī)被鎖定后仍然可以繼續(xù)提交指紋圖像。

研究人員對十款不同品牌和型號的智能手機(jī)進(jìn)行了測試,所有的安卓和華為鴻蒙設(shè)備都存在BrutePrint攻擊的風(fēng)險,而iOS設(shè)備則有一定程度的防護(hù)。

Apple iPhone 13 (A2634) 128GB 星光色 支持移動聯(lián)通電信5G 雙卡雙待手機(jī)【快充套裝】

[經(jīng)銷商]京東商城

[產(chǎn)品售價]

進(jìn)入購買

實驗結(jié)果顯示,在用戶只注冊了一個指紋的情況下,BrutePrint攻擊成功完成所需的時間在2.9到13.9小時之間;在用戶注冊了多個指紋的情況下,所需時間則縮短到0.66到2.78小時。

研究人員表示,他們已經(jīng)向相關(guān)廠商報告了這些漏洞,并建議用戶使用更安全的身份驗證方式,如密碼或面部識別。他們還呼吁廠商改進(jìn)指紋傳感器的設(shè)計和保護(hù)機(jī)制,以防止類似的攻擊發(fā)生。

Apple蘋果14 iPhone 14 (A2884) 5G手機(jī) 全網(wǎng)通 星光色 128GB

[經(jīng)銷商]京東商城

[產(chǎn)品售價]

進(jìn)入購買

標(biāo)簽:

相關(guān)閱讀

精彩推薦

相關(guān)詞

推薦閱讀