新闻链接:http://bobao.360.cn/news/detail/2819.html
新闻时间:2016-03-09 14:28:03
新闻正文:利用纸和墨水便可攻破智能手机的指纹识别器
在当今这个互联网科技高速发展的时代,安全性和便捷性就像鱼和熊掌一样,往往不可兼得。如果你想获取到更多的便捷性,那么你可能就得牺牲一些安全性来作为代价了。
但是,智能手机中的指纹识别系统理应可以在提供了操作便利性的同时,也能保证用户的数据安全。
如果你的智能手机提供了指纹识别功能,那么你只需要将你的手指放在手机的指纹传感器上,你就可以解锁你的手机了。当你的设备处于锁定状态时,坏人是无法获取到手机中的隐私数据的,这也就保证了你的安全性。与此同时,在解锁手机的时候也不需要用户手动输入解锁密码,所以这也就保证了手机操作的便捷性。
但是,指纹识别功能中却存在一个设计缺陷。因为用户的指纹信息并不是什么机密数据,用户很可能在很多其他的地方都留下了他们的指纹,而指纹信息是可以通过拍照等方式来进行拷贝的。
此前,苹果公司曾向外界推出了第一款配备有生物识别功能(Touch ID)的手机,即iPhone 5S。但是不久之后,混沌计算机俱乐部(CCC)的一名黑客就利用窃取到的指纹数据来欺骗了手机的指纹传感器,并成功解锁了手机。
在这名黑客的“攻击”过程中,他通过一张高分辨率的图片拍下了目标用户的指纹信息,然后根据图片中的指纹信息,利用打印机和大量碳粉制造出了相同指纹的模具,最后成功地制作出了一个仿真的木胶手指。
另一群安全研究人员还用同样的方法成功地破解了三星Galaxy S5的指纹传感器。这也就意味着,指纹识别中的设计缺陷不仅仅只存在与苹果设备之中。
现在,又有两位安全研究人员对这一攻击过程进行了精简和改良。他们使用了一个普通的2D喷墨打印机,导电墨盒,以及AgIC套件成功地复制出了指纹信息。
这样一来,我们就没有必要等到胶水风干。我们只需要直接在计算机中扫描目标用户的指纹信息,然后直接将其打印在一张特质的纸张上就可以了。
Kai Cao和Anil K.Jain是来自密歇根州立大学计算机科学与工程学院的两位研究人员。他们在上个月通过一个短视频向人们展示了他们的研究成果,并在视频中演示了欺骗指纹识别设备的方法。
http://player.youku.com/player.php/sid/XMTQ5NDY1NzkxMg==/v.swf
研究人员表示,他们对两款不同型号的智能手机进行了分析和测试,其中一款为三星的Galaxy S6,另一款为华为的荣耀7。
这种欺骗技术在这两款手机上都测试成功了。但是相对三星Galaxy S6而言,华为的荣耀7的指纹识别系统则更加难以破解(在测试的过程中,研究人员需要进行多次尝试才可以解锁华为荣耀7)。
安全研究人员在研究报告中写到:我们的研究进一步证实了,目前智能手机中的指纹识别系统正迫切需要相应的反欺骗技术来保护用户的数据安全。尤其是目前越来越多的移动设备开始使用指纹识别系统来进行手机解锁和在线支付。
智能手机的各大制造商也在不断尝试研发新型的生物识别技术,例如虹膜识别和面部识别等等。但是黑客破解这些识别技术又需要多少时间呢?我们不得而知。
英文原文链接:https://nakedsecurity.sophos.com/2016/03/08/your-smartphone-fingerprint-reader-could-be-hacked-using-paper-and-ink/
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)