三星智能手机指纹传感器
北京时间8月7日消息,据科技网站ZDNet报道,指纹可能不像人们想象的那样安全。周三在黑帽技术大会(Black Hat conference)上,安全厂商FireEye研究人员魏涛(Tao Wei,音译)和张宇龙(Yulong Zhang,音译)披露了攻击Android设备,获取用户指纹的新方法。
这一威胁目前主要局限于配置有指纹传感器的Android设备,例如三星、华为和HTC的设备,这类设备销量与iPhone相比较低。但是,预计到2019年将有至少半数智能手机配置指纹传感器,这一威胁的危害会增加。
张宇龙通过电子邮件向ZDNet表示,在研究人员披露的四种攻击中,一种名为“指纹传感器间谍攻击”的攻击能“远程大规模获取用户指纹”。
这种攻击在HTC One Max和三星Galaxy S5上得到了证实,由于厂商没有完全锁死指纹传感器,黑客可以从受影响的设备中秘密获取用户的指纹图像。
雪上加霜的是,只需“system”权限而不是“root”权限,即可访问部分设备上的指纹传感器,使黑客更容易得手。一旦攻击得手,黑客能继续悄悄获取使用传感器的任何用户的指纹。
张宇龙表示,“在这种攻击中,指纹数据会直接落入黑客之手,黑客可以出于恶意目的使用用户的指纹数据。”这是一个严重的问题。指纹可能被广泛用于移动支付和解锁设备,过去5年,指纹更多地被用于身份认证、移民和犯罪记录方面。
在接到研究人员的通报后,受影响的厂商已经发布了补丁软件。
研究人员没有就哪家厂商的设备更安全发表评论。但张宇龙指出,苹果iPhone“相当安全”,它在扫描器中对指纹数据进行加密,“即使能直接读取传感器数据,如果没有密钥,黑客仍然无法获得指纹图像”。
这一问题不仅仅只影响移动设备。研究人员指出,这种攻击也适用于带有指纹传感器的高端笔记本。研究人员建议用户使用定期更新的设备,只安装来源可靠的应用。