日前据媒体报道,周三在黑帽技术大会(Black Hat conference)上有黑客演示了攻击Android设备,并获取用户指纹的方法。根据说明,黑客并不需要完全的root权限即可通过指纹传感器获取用户的指纹信息。专家指出,指纹识别的软件方面最易产生安全风险,防范上要“软硬件结合”。
该项演示是在HTC One Max和三星Galaxy S5上进行的,黑客通过一种名为“指纹传感器间谍攻击”的攻击能“远程大规模获取用户指纹”。由于厂商没有完全锁死指纹传感器,黑客可以从受影响的设备中秘密获取用户的指纹图像,而且只需“system”权限而不是“root”权限。一旦攻击得手,黑客能继续悄悄获取使用传感器的任何用户的指纹,并且是通过远程的方式获取。
据了解,目前指纹主要被用于身份认证、移民和犯罪记录方面,但最近的趋势是用于移动支付和解锁设备,例如新款的苹果iPhone手机,和少量一些Android设备。因此,如果指纹信息大量流入黑客手中,完全有可能被用于犯罪行为。
记者以此问题咨询360奇酷手机安全专家马冲,对方认为指纹安全确实应该引起社会的广泛关注,因为在未来一两年会有越来越多的手机将指纹传感器作为标配设备。不过他也指出,黑帽大会上进行指纹攻击演示的两款手机属于最早一批配备指纹传感器的Android手机,功能比较初级,新一代产品会在安全性上有很大的进步,并不输于苹果iPhone。
对于新一代Android手机的指纹保护,马冲解释称指纹识别其实包含传感器获取指纹和存储指纹信息两个方面:目前的方案中指纹信息存储在一个权限极高的区域,连手机的CPU也不能直接访问具体数据,而对传感器的访问权限需要在手机系统上做出防范。
他同时指出,智能新手机的指纹安全需要软件和硬件的配合才能保证,同时也需要有更多开发者的努力才能充分发挥指纹识别在安全和便利的优势。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。