研究人员可远程窃取安卓手机上的指纹数据
FireEye安全研究人员发现了四种新的方式来攻击安卓设备,可以在用户毫无察觉的情况下远程提取用户指纹信息。
安全研究人员目前已经发现了四种新的方式攻击安卓设备,可以在用户毫无察觉的情况下远程提取用户指纹信息。这种攻击称为“指纹传感器监视攻击”。研究人员张玉龙(Yulong Zhang) 透露,黑客可以利用这种方法大规模远程获取指纹。
远程攻击安卓指纹
在今年BlackHat黑帽大会上一场名为“移动设备上的指纹:滥用和泄露”的讨论会上,火眼(FireEye)的研究人员魏涛(Tao Wei)和张玉龙(Yulong Zhang)演示了他们的研究成果,并提出了几种新方法攻击安卓设备,提取用户指纹数据。
这种新的攻击方式主要针对带有指纹传感器的安卓设备。相比于输入密码的认证方式,指纹传感器能够使用户通过简单地触摸手机屏幕,就能够进行身份验证。
目前研究人员已经在HTC One Max和三星Galaxy S5上验证了这种攻击方式,通过这种方法,他们能够秘密地从设备上获取指纹图像,这是因为供应商未能很好地锁定指纹传感器。
这种攻击方法影响知名手机设备,包括三星、HTC和华为。
指纹与密码
换个角度想一下,指纹被盗往往会比密码被盗的情况更糟糕,因为当密码泄露时你可以修改密码,但却不能更换你的指纹。张玉龙说道:
“在这种类型的攻击中,受害者的指纹数据会直接落入攻击者的手中。在受害者以后的生活中,攻击者可以一直使用他们的指纹数据,并能够利用指纹做其他恶意的事情。”
不过好消息是,通过为安卓设备上的指纹数据进行加密,这个问题就能够很容易地得到解决。此外, 在研究人员向有关手机厂商发布了安全报告之后,这些受影响的供应商就发布了安全补丁。然而,研究人员并没有共享任何的POC详细信息,也未说明如何远程执行指纹窃取攻击。不过需要注意的是,谷歌并没有在安卓操作系统上正式支持指纹功能,但它很快就会在安卓M更新上支持指纹传感器。
苹果设备安全
苹果用户暂时不用担心这种攻击,因为目前来看iPhone和iPad的touch ID还是“相当安全的”,因为它使用一个加密密钥对指纹扫描仪的数据进行了加密,使得即使黑客获得了访问权限也无法读取到指纹数据。
*参考来源: thehackernews ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)