Android系統出現嚴重安全漏洞 指紋鎖可被15美元設備輕易破解

撰文:中關村在線
出版:更新:

近日,騰訊安全玄武實驗室和浙江大學的研究人員發表了一篇論文,揭示了一種新的指紋攻擊方法,可以繞過Android智能手機上的生物識別驗證。

這種攻擊方法被稱為「BrutePrint」,利用了兩個零日漏洞和指紋傳感器的設計缺陷,可以通過不斷提交指紋圖像,直到匹配到用戶註冊的指紋,從而解鎖手機。

+17

據論文介紹,BrutePrint攻擊需要對目標手機進行物理訪問,並使用一個成本約為15美元(約合117元港幣)的設備,通過串行外設接口(SPI)與指紋傳感器進行通信。

攻擊者還需要從公開的指紋數據庫中獲取指紋圖像,並通過神經風格遷移技術將其轉換為適合目標手機傳感器的格式。通過這樣的方式,攻擊者可以不斷嘗試提交不同的指紋圖像,直到成功匹配。

研究人員還發現了兩個零日漏洞,分別是Cancel-After-Match-Fail(CAMF)和Match-After-Lock(MAL),可以用來繞過Android系統對指紋嘗試次數的限制。CAMF漏洞允許攻擊者在每次提交失敗後取消操作,從而避免計數器增加;MAL漏洞允許攻擊者在手機被鎖定後仍然可以繼續提交指紋圖像。

研究人員對十款不同品牌和型號的智能手機進行了測試,所有的Android和華為鴻蒙設備都存在BrutePrint攻擊的風險,而iOS設備則有一定程度的防護。

實驗結果顯示,在用戶只註冊了一個指紋的情況下,BrutePrint攻擊成功完成所需的時間在2.9到13.9小時之間;在用戶註冊了多個指紋的情況下,所需時間則縮短到0.66到2.78小時。

研究人員表示,他們已經向相關廠商報告了這些漏洞,並建議用戶使用更安全的身份驗證方式,如密碼或面部識別。他們還呼籲廠商改進指紋傳感器的設計和保護機制,以防止類似的攻擊發生。

延伸閲讀:Xiaomi Civi 3配最新MediaTek 8200 Ultra 連拍提速235%拍人更美

+4

【本文獲「中關村在線」授權轉載。】