研究人员可远程窃取安卓手机上的指纹数据

2015-08-10 227755人围观 ,发现 4 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

FireEye安全研究人员发现了四种新的方式来攻击安卓设备,可以在用户毫无察觉的情况下远程提取用户指纹信息。

安全研究人员目前已经发现了四种新的方式攻击安卓设备,可以在用户毫无察觉的情况下远程提取用户指纹信息。这种攻击称为“指纹传感器监视攻击”。研究人员张玉龙(Yulong Zhang)透露,黑客可以利用这种方法大规模远程获取指纹。

远程攻击安卓指纹

在今年BlackHat黑帽大会上一场名为“移动设备上的指纹:滥用和泄露”的讨论会上,火眼(FireEye)的研究人员魏涛(Tao Wei)和张玉龙(Yulong Zhang)演示了他们的研究成果,并提出了几种新方法攻击安卓设备,提取用户指纹数据。

这种新的攻击方式主要针对带有指纹传感器的安卓设备。相比于输入密码的认证方式,指纹传感器能够使用户通过简单地触摸手机屏幕,就能够进行身份验证。

目前研究人员已经在HTC One Max和三星Galaxy S5上验证了这种攻击方式,通过这种方法,他们能够秘密地从设备上获取指纹图像,这是因为供应商未能很好地锁定指纹传感器。

这种攻击方法影响知名手机设备,包括三星、HTC和华为。

指纹与密码

换个角度想一下,指纹被盗往往会比密码被盗的情况更糟糕,因为当密码泄露时你可以修改密码,但却不能更换你的指纹。张玉龙说道:

“在这种类型的攻击中,受害者的指纹数据会直接落入攻击者的手中。在受害者以后的生活中,攻击者可以一直使用他们的指纹数据,并能够利用指纹做其他恶意的事情。”

不过好消息是,通过为安卓设备上的指纹数据进行加密,这个问题就能够很容易地得到解决。此外,在研究人员向有关手机厂商发布了安全报告之后,这些受影响的供应商就发布了安全补丁。然而,研究人员并没有共享任何的POC详细信息,也未说明如何远程执行指纹窃取攻击。不过需要注意的是,谷歌并没有在安卓操作系统上正式支持指纹功能,但它很快就会在安卓M更新上支持指纹传感器。

苹果设备安全

苹果用户暂时不用担心这种攻击,因为目前来看iPhone和iPad的touch ID还是“相当安全的”,因为它使用一个加密密钥对指纹扫描仪的数据进行了加密,使得即使黑客获得了访问权限也无法读取到指纹数据。

*参考来源:thehackernews,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

更多精彩
相关推荐
发表评论

已有 4 条评论

取消
Loading...
JackFree

冒个泡,表示我还关注着FB······

174 文章数 147 评论数 4 关注者

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php