指纹识别不靠谱? 硬件加密手机安全性高

12.08.2015  21:45

  在近日刚结束的世界黑帽大会BlackHat上,黑客为智能手机准备了的破解技术,这一次攻击依旧是Android系统手机的指纹识别功能。随着该功能向中低端手机延伸,也成为黑客攻击的目标。此次,就有黑客发现,在Android指纹识别框架下存在重大漏洞,他们可以通过该漏洞解锁屏幕、安装应用,更严重的是他们甚至可以完成支付动作。这到底是怎么一回事?文/广州日报记者 李光焱

   又是Android手机

  据报道称,来自中国的魏涛、张玉龙(均为音译)两位黑客发现了这一漏洞。黑客甚至还可以从受影响的Android手机中拷贝用户的指纹,极大地威胁用户安全。据悉,目前黑客攻破了HTC One Max、三星Galaxy  S5的指纹密码锁。截稿时,两家厂商未对记者的采访做出回应。

  此漏洞出现在Android系统层级,换言之,任何配备了指纹解锁的Android手机都将受到威胁。记者了解到,目前包括三星、HTC、LG、华为、中兴、魅族、OPPO、vivo、大神等多个手机厂商推出的产品,均采用了指纹识别技术,而且毫无例外地都是Android智能手机。

  与此相反,在对苹果iPhone的指纹识别功能(Touch ID)的攻击中,黑客并没有成功。黑客不仅无法绕过Touch ID,更不能盗走用户的指纹信息。“还是iOS强,苹果公司对权限的把握还是很厉害。”国内一家安全软件厂商人士略带调侃地表示。

  当然,作为按压式识别方式,苹果的Touch ID依然可以用指纹膜(需要用户的指纹“原型”)骗过,但相比被黑客攻破这一点,还是有很大的不同。值得庆幸的是,谷歌应该会马上修补漏洞,预计不久会以更新的方式弥补BUG。

  硬件层加密更可靠

  作为封闭系统,iOS更安全一直都是iPhone相比Android手机最大的优势。使用了指纹识别加密的iPhone很难通过技术手段来获取其中的内容,而使用了指纹识别的Android手机却容易就通过刷机的方式来破解。

  不过,鉴于黑帽大会每次都要搞点“新料”吸引注意,称所有Android手机的指纹识别功能都会被攻破显然夸大其辞了。

  “魅族的做法和苹果类似,提供的是芯片级的保护,有一个TrustZone技术,保证指纹识别的安全,即便手机被Root后也能保证安全。”魅族科技相关人士向记者解释,TrustZone基本不会被破解,这种技术的实现相当于银行的U盾,它将用户重要的身份信息存储在一个独立的系统空间里,在获取用户身份信息时仅起到比对的作用。

  奇酷公司相关负责人则表示,目前即便是千元级的智能机,其指纹识别功能也采用硬件加密,用户的手机即便被ROOT了,对方也拿不走你的指纹密码。

  前Google安全大师、安全领域专家Shuman Ghosemajumder表示,指纹扫描必须只基于硬件,扫描装置不能通过软件激活,或是将指纹信息传送给软件。如果该装置能够被软件激活,则无法避免被恶意代码攻击的风险。

来源:广州日报