您可能同意我的看法,指紋掃描儀在大多數 Android 智能手機用戶中越來越受歡迎。幾乎每部 Android 智能手機都有指紋掃描儀。在大多數情況下,您會在 Android 智能手機的三個不同位置找到指紋掃描儀。我們有側面安裝的指紋掃描儀、背面安裝的和顯示屏下的指紋掃描儀。無論其位置如何,它們都服務於一個主要目的,即安全性。
由於地球上每個人都有不同的指紋,不可否認,智能手機上的指紋掃描儀應該是最安全的方式之一使私人數據遠離第三隻眼。儘管這種說法是有效的,但事實真的如此嗎?智能手機上的指紋掃描儀是否提供了最好的安全形式?
這個問題的答案可能取決於您希望如何解鎖受指紋保護的手機。如果您嘗試使用未在智能手機上註冊的不同指紋解鎖,那麼您肯定擁有最好的保護形式。如果您嘗試使用黑客工具解鎖怎麼辦?這應該很難做到吧?那麼,即使有可能,該工具也肯定會花費一大筆錢。對於像 FBI 和其他政府安全機構來說足夠昂貴以進行調查。
事實是,有一個新工具可以突破Android設備的指紋保護,但並不昂貴。這是一個 15 美元的工具,可以發揮所有的魔力。
一個 15 美元的工具打破了智能手機指紋掃描儀的保護
騰訊的 Yu Chen 和浙江大學的 Yiling He 的新研究表明,有兩個幾乎所有智能手機中的未知漏洞。這些漏洞位於指紋認證系統中,被稱為零日漏洞。通過利用這些漏洞,他們可以發起一種稱為 BrutePrint 攻擊的攻擊來解鎖幾乎所有智能手機指紋掃描儀。
為實現這一目標,他們使用了一塊價值 15 美元的電路板,其中包含微控制器、模擬開關、SD 閃存卡和闆對板連接器。攻擊者只需花 45 分鐘使用受害者的手機,當然還有指紋數據庫。
Android 智能手機指紋掃描儀在 45 分鐘內被黑
研究人員測試了八種不同的Android 智能手機和兩部 iPhone。 Android手機包括小米Mi 11 Ultra、Vivo X60 Pro、OnePlus 7 Pro、OPPO Reno Ace、三星Galaxy S10+、OnePlus 5T、華為Mate30 Pro 5G和華為P40。 iPhone 還包括 iPhone SE 和 iPhone 7。
所有智能手機指紋保護都有嘗試次數限制,但 BrutePrint 攻擊可以繞過此限制。事實上,指紋認證器不需要輸入和存儲的指紋數據完全匹配就可以工作。相反,它使用閾值來確定輸入是否足夠接近以匹配。這意味著,任何惡意系統都可以利用並嘗試匹配存儲的指紋數據。他們所要做的就是能夠繞過指紋嘗試的限制。
Gizchina 本週新聞
研究人員如何使用價值 15 美元的工具解鎖智能手機上的指紋掃描儀
要解鎖智能手機,研究人員所要做的就是取下智能手機的後蓋,然後附上 15 美元的電路板。一旦攻擊開始,只需不到一個小時即可解鎖每台設備。設備解鎖後,他們還可以使用它來授權付款。
解鎖每部手機所花費的時間因一部手機而異。例如,Oppo 需要大約 40 分鐘才能解鎖,而三星 Galaxy S10+ 需要大約 73 分鐘到 2.9 小時才能解鎖。最難解鎖的 Android 智能手機是 Mi 11 Ultra。據研究人員稱,解鎖大約需要 2.78 到 13.89 小時。
iPhone 非常安全
在嘗試解鎖 iPhone 時,研究人員無法實現他們的目標。這並不真的意味著 Android 指紋比 iPhone 弱。主要是因為蘋果對用戶在iPhone上的數據進行了加密。使用加密數據,BrutePrint 攻擊無法訪問 iPhone 上的指紋數據庫。因此,這種形式的攻擊無法解鎖 iPhone 的指紋。
Android 智能手機用戶如何確保其個人數據的安全?
作為最終用戶,除了使用密碼和其他形式的保護之外,您幾乎無能為力。但是,Android 開發人員需要採取額外措施來確保用戶數據的安全。鑑於此,研究人員餘晨和以玲提出了幾點建議。他們建議開發團隊限制繞過嘗試。他們還敦促谷歌對指紋掃描儀和芯片組之間發送的所有數據進行加密。
結論
你可能會注意到,研究人員使用舊智能手機進行這種所謂的 BrutePrint 攻擊。這是因為現代 Android 智能手機具有更嚴格的應用權限和應用安全數據,因此更加安全。從這些研究人員使用的方法來看,BrutePrint 攻擊很難滲透到現代 Android 安全系統。
Security Boulevard 也向最新 Android 智能手機用戶保證不用擔心。這是因為 BrutePrint 攻擊可能不適用於遵循谷歌最新標準的 Android 智能手機。
來源/威盛: