Android 的指紋識別,比你想象中還要不安全?
標籤:Galaxy S5 三星 指紋識別 指紋識別安全
系統的開放與隱患永遠是相伴相生,近日就有研究把矛頭指向了 Android 系統的指紋識別。確切來説,主要指 Galaxy S5 的安全漏洞。
據福布斯報道,安全研究機構 FireEye 發佈的報告稱,黑客很容易利用 Galaxy S5 上的指紋識別功能盜取用户信息,儘管三星會將用户的指紋存儲在不同的“信任區域”(Trusted Zone)內。
研究者表示,攻擊者只需創建需要系統級訪問權限的惡意程序,一旦攻破 Android 內核,就可以長驅直入,無需訪問信任區域的情況下也能讀取指紋傳感器。盜取信息後,黑客便可逆推生成指紋圖像。
報告不單單針對 Galaxy S5,包括一些未指明的 Android 手機都有一樣的漏洞。FireEye 的兩位中國研究者 Tao Wei 和 Yulong Zhang 説:“用户每一次使用指紋識別器,黑客就能獲取用户信息。生成指紋圖像後,他們就可以為所欲為了。”
兩位研究者已經將漏洞報告給三星,他們還為收到任何官方的升級補丁。不過他們補充説,這個安全隱患並沒有想象中可怕,也不無解藥,Android 5.0 以上的系統就不會有這個漏洞,因而理論上説,用户升級系統就可以避免悲劇的發生。
三星在一封官方郵件聲明中説:“三星非常重視用户的隱私和數據安全,我們正在研究 FireEye 的研究報告。”
Galaxy S5 早在上市之初就被黑的滿目瘡痍,有人甚至分分鐘破解了它的指紋識別。三星對開發者開放 Galaxy S5 指紋識別 API ,進而第三方應用也能夠使用手機上的指紋識別功能,例如支付巨頭 PayPal 允許用户通過指紋進行轉賬授權。
德國安全網站 Heise Security 就通過超高密度掃描儀採集用户指紋,製造出能夠欺騙系統的 “指紋薄膜”。由於三星已對第三方應用開放了指紋識別,因此這次破解對 Galaxy S5 可謂是毫無障礙,破解人員可以直接用假指紋在 PayPal 上實現了轉賬。
Android 系統因其開放性,在安全性上一直受到質疑。事實證明,Android 平台的安全隱患的確不小。互聯網安全公司 F-secure 發佈的移動互聯網安全報告指出,2012 年有 79% 的惡意軟件都寄生於 Andriod 之上,相較之下,iOS 平台內的惡意軟件僅佔總量的 0.7%。
iOS 就絕對安全嗎?對於黑客來説,破解 Touch ID 的指紋識別也是毫無壓力,德國知名黑客 Starbug 就曾自己製作了一套指紋,成功騙過了 Touch ID 系統。
題圖來自 BI
資料來源:愛範兒(ifanr)
作者/編輯:周韶宏