研究人员可远程窃取安卓手机上的指纹数据

标签: 漏洞 资讯 安卓 指纹 | 发表时间:2015-08-10 00:23 | 作者:JackFree
出处:http://www.freebuf.com

FireEye安全研究人员发现了四种新的方式来攻击安卓设备,可以在用户毫无察觉的情况下远程提取用户指纹信息。

安全研究人员目前已经发现了四种新的方式攻击安卓设备,可以在用户毫无察觉的情况下远程提取用户指纹信息。这种攻击称为“指纹传感器监视攻击”。研究人员张玉龙(Yulong Zhang) 透露,黑客可以利用这种方法大规模远程获取指纹。

远程攻击安卓指纹

在今年BlackHat黑帽大会上一场名为“移动设备上的指纹:滥用和泄露”的讨论会上,火眼(FireEye)的研究人员魏涛(Tao Wei)和张玉龙(Yulong Zhang)演示了他们的研究成果,并提出了几种新方法攻击安卓设备,提取用户指纹数据。

这种新的攻击方式主要针对带有指纹传感器的安卓设备。相比于输入密码的认证方式,指纹传感器能够使用户通过简单地触摸手机屏幕,就能够进行身份验证。

目前研究人员已经在HTC One Max和三星Galaxy S5上验证了这种攻击方式,通过这种方法,他们能够秘密地从设备上获取指纹图像,这是因为供应商未能很好地锁定指纹传感器。

这种攻击方法影响知名手机设备,包括三星、HTC和华为。

指纹与密码

换个角度想一下,指纹被盗往往会比密码被盗的情况更糟糕,因为当密码泄露时你可以修改密码,但却不能更换你的指纹。张玉龙说道:

“在这种类型的攻击中,受害者的指纹数据会直接落入攻击者的手中。在受害者以后的生活中,攻击者可以一直使用他们的指纹数据,并能够利用指纹做其他恶意的事情。”

不过好消息是,通过为安卓设备上的指纹数据进行加密,这个问题就能够很容易地得到解决。此外, 在研究人员向有关手机厂商发布了安全报告之后,这些受影响的供应商就发布了安全补丁。然而,研究人员并没有共享任何的POC详细信息,也未说明如何远程执行指纹窃取攻击。不过需要注意的是,谷歌并没有在安卓操作系统上正式支持指纹功能,但它很快就会在安卓M更新上支持指纹传感器。

苹果设备安全

‍苹果用户暂时不用担心这种攻击,因为目前来看iPhone和iPad的touch ID还是“相当安全的”,因为它使用一个加密密钥对指纹扫描仪的数据进行了加密,使得即使黑客获得了访问权限也无法读取到指纹数据。‍

*参考来源: thehackernews ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关 [研究 安卓 手机] 推荐:

研究人员可远程窃取安卓手机上的指纹数据

- - FreeBuf.COM | 关注黑客与极客
FireEye安全研究人员发现了四种新的方式来攻击安卓设备,可以在用户毫无察觉的情况下远程提取用户指纹信息. 安全研究人员目前已经发现了四种新的方式攻击安卓设备,可以在用户毫无察觉的情况下远程提取用户指纹信息. 这种攻击称为“指纹传感器监视攻击”. 研究人员张玉龙(Yulong Zhang) 透露,黑客可以利用这种方法大规模远程获取指纹.

2017年第一季度安卓系统安全性生态环境研究

- - FreeBuf.COM | 关注黑客与极客
此报告数据来源为70万份“360透视镜”(360手机卫士团队发布的一款专业检测手机安全漏洞的APP)用户主动上传的漏洞检测报告,检测内容包括最近两年的Android和Chrome安全公告中检出率最高的42个漏洞,涵盖了Android系统的各个层面. 检测结果显示,截止至2017年4月,70万用户中99.99%的Android手机存在安全漏洞,仅有4台手机完全修复了检测中所包含的42个漏洞.

安卓手机必备应用-钛备份

- - 牛B博客 niub.us
钛备份 Titanium Backup pro. 钛备份是Andriod操作系统备份所开发的一款软件,可以根据设置和需求,对整个系统或者部分软件进行备份和还原,以免误操作造成的系统损坏和软件损坏,它不仅能够备份手机上的所有程序,还能保存每个程序的数据、Android市场链接等等,十分强大,大大减少了恢复系统时所需的时间,可谓是安卓系统的Ghost, 是目前最为强悍的程序和系统备份工具, 需ROOT权限运行.

iPhone用户的安卓手机使用体验

- - 鲁塔弗的博客
我这3年一直用再用iphone 4,最近还拆过一次 iPhone4自行更换电池,苹果手机单价虽然高,但是保值不错,从这个角度,性价比很高了. 上个月去买了一个 大可乐手机,1499元,联发科的集成系统,双卡双待,5.3寸屏幕. 对我来说,智能手机除去通话短信之外的主要用途是阅读和导航,屏幕大小很重要,使用了一个月感觉如下.

如何测试安卓手机的流畅性?

- - 雷锋网
对于安卓手机,我们听到最多的抱怨就是不流畅,在选购前,问的最多的问题也是这款手机流畅不流畅. 有的人看配置,但是同样配置的手机,流畅性天差地别,而有些低配手机反而很流畅;有的人看跑分,但是有些手机跑分很高,流畅性却很差;更糟的是,因为人和人的流畅标准不同,同样的手机,张三觉得不流畅,李四觉得还不错,选购前问别人也无法有个正确的参考.

强大的安卓手机远程管理工具 – Droidjack

- - FreeBuf.COM | 关注黑客与极客
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!. Droidjack是一款针对安卓手机远程管理工具,你可以利用它在PC上对手机进行远程操控,不仅功能强大,使用也很方便. 1、可以生成一个APK,绑定在被控手机的任何APP上 2、可在电脑端控制手机,包括浏览、传输、删除文件等 3、可进行SMS短信收发和查看功能 4、可以控制手机的电话功能 5、联系人管理 6、麦克风监听 7、GPS定位 8、APP管理.

廉价安卓手机的秘密:暗藏后门来获利

- - 雷锋网
与价格并不亲民的苹果手机相比,不少低成本的 Android 手机以低廉的价格和丰富的功能在全球变得越来越受欢迎. 但你可能不知道的是,很多低价的安卓手机是因为早已预装了远程木马来获取用户信息,来提高获利的. 比如,你的廉价手机是否经常收到为你量身定制的各种小广告. 你的定位功能是否总是在你不使用的时候也经常处于开启状态.

谷歌正一步步收回对安卓的控制权,安卓手机厂商的苦日子要来了

- - 博客园_新闻
19 日据外媒消息,谷歌即将收回安卓升级的主导权,而这将从根本上改变安卓生态系统当前的开发和更新模式. Theregister 报道称,Edison Investment Research 分析师温莎(Richard Windsor)认为,谷歌已经对迟缓的升级速度忍无可忍,随时可能将固件升级的控制权从硬件玩家的手中收回.

2011年Android手机用户购买行为研究报告

- Ruby - laoyaoba.com
Android市场概述及报告要点.     一、市场概述及研究背景.     伴随着智能手机市场的风起云涌,操作系统平台正在成为消费者购买智能手机时主要考虑的因素之一. 互联网消费调研中心ZDC数据显示,2007-2011年,中国智能手机市场上,Symbian系统智能手机一直占据着霸主地位,但随着苹果、黑莓、Android等诸多竞争对手的到来,已经征战多年的Symbian渐显疲态,用户关注度不断萎缩,从2007年的70%下降至如今的31%.

ZDC:2011年Android手机用户使用行为研究报告

- 静平 - 中文互联网数据研究资讯中心
谷歌Android,自获得摩托罗拉、三星、HTC、中兴、华为等诸多品牌的拥趸开始,就扮演起了智能手机市场竞争格局颠覆者的角色. 经过近三年时间的发展,Gartner最新数据显示,2011年第二季度,搭载Android智能操作系统平台的手机终端在全球智能手机市场的份额已经超过四成,取代Symbian成为毋庸置疑的老大.