Android 的指紋識別,比你想象中還要不安全?觀點
系統的開放與隱患永遠是相伴相生,近日就有研究把矛頭指向了 Android 系統的指紋識別。確切來說,主要指 Galaxy S5 的安全漏洞。
據 福布斯報道 ,安全研究機構 FireEye 發布的報告稱,黑客很容易利用 Galaxy S5 上的指紋識別功能盜取用戶信息,盡管三星會將用戶的指紋存儲在不同的“信任區域”(Trusted Zone)內。
研究者表示,攻擊者只需創建需要系統級訪問權限的惡意程序,一旦攻破 Android 內核,就可以長驅直入,無需訪問信任區域的情況下也能讀取指紋傳感器。盜取信息后,黑客便可逆推生成指紋圖像。
報告不單單針對 Galaxy S5,包括一些未指明的 Android 手機都有一樣的漏洞。FireEye 的兩位中國研究者 Tao Wei 和 Yulong Zhang 說:“用戶每一次使用指紋識別器,黑客就能獲取用戶信息。生成指紋圖像后,他們就可以為所欲為了。”
兩位研究者已經將漏洞報告給三星,他們還為收到任何官方的升級補丁。不過他們補充說,這個安全隱患并沒有想象中可怕,也不無解藥,Android 5.0 以上的系統就不會有這個漏洞,因而理論上說,用戶升級系統就可以避免悲劇的發生。
三星在一封官方郵件聲明中說:“三星非常重視用戶的隱私和數據安全,我們正在研究 FireEye 的研究報告。”
Galaxy S5 早在上市之初就被黑的滿目瘡痍,有人甚至分分鐘破解了它的指紋識別。三星對開發者開放 Galaxy S5 指紋識別 API ,進而第三方應用也能夠使用手機上的指紋識別功能,例如支付巨頭 PayPal 允許用戶通過指紋進行轉賬授權。
德國安全網站 Heise Security 就通過超高密度掃描儀采集用戶指紋,制造出能夠欺騙系統的 “指紋薄膜”。由于三星已對第三方應用開放了指紋識別,因此這次破解對 Galaxy S5 可謂是毫無障礙,破解人員可以直接用假指紋在 PayPal 上實現了轉賬。
Android 系統因其開放性,在安全性上一直受到質疑。事實證明,Android 平臺的安全隱患的確不小。互聯網安全公司 F-secure 發布的移動互聯網安全報告指出,2012 年有 79% 的惡意軟件都寄生于 Andriod 之上,相較之下,iOS 平臺內的惡意軟件僅占總量的 0.7%。
iOS 就絕對安全嗎?對于黑客來說,破解 Touch ID 的指紋識別也是毫無壓力,德國知名黑客 Starbug 就曾自己制作了一套指紋,成功騙過了 Touch ID 系統。
1.砍柴網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.砍柴網的原創文章,請轉載時務必注明文章作者和"來源:砍柴網",不尊重原創的行為砍柴網或將追究責任;3.作者投稿可能會經砍柴網編輯修改或補充。
