這個移動互聯(lián)網(wǎng)的世界究竟有多不安全?看看你自己的手機就知道了。
近日,一則關(guān)于Android系統(tǒng)智能手機指紋識別功能的巨大漏洞被曝光,再次引發(fā)了人們對于移動安全的關(guān)注。同時,這一事件是否會對國內(nèi)的手機用戶造成影響,也是輿論爭論的焦點。
事件緣起于本周在美國洛杉磯召開的黑帽安全技術(shù)大會(BlackHat),兩名來自中國的程(Hei)序(Ke)員利用Android系統(tǒng)安全漏洞攻破了其指紋識別功能,并順利竊取到了用戶的指紋信息?,F(xiàn)場展示的機型包括三星的GalaxyS5和HTCOneMax。
據(jù)上述人士表示,在本次攻擊中,漏洞源于Android系統(tǒng)的安全構(gòu)架問題和原始設(shè)備制造商創(chuàng)建的遠程支持工具的缺陷。用戶的指紋數(shù)據(jù)會直接落入攻擊者的手中,“只要受害者還活著,攻擊者就能肆意利用其指紋信息做壞事”——移動支付、設(shè)備密碼、身份、甚至非法移民和犯罪。同時,該漏洞也會涉及到不少高端筆記本電腦的指紋傳感系統(tǒng)。
據(jù)悉,由于很多設(shè)備制造商并未完全“鎖定”其指紋支付系統(tǒng),因此攻擊者可以在神不知鬼不覺的情況下從被感染的設(shè)備上偷走指紋信息。
指紋解鎖被黑 三星谷歌如何自證清白?
好在對此,谷歌和三星官方已做出回應(yīng),并表示將修補這一漏洞:
谷歌:“感謝研究人員提出的問題,這鞭策我們進行改善,這個問題Android手機廠商已經(jīng)解決并提供更新補丁。希望大家使用可靠的應(yīng)用程序來源,比如說GooglePlay?!?/p>
三星:“感謝用戶的信任,并使用我們的產(chǎn)品和服務(wù)。我們意識并了解到問題,并已經(jīng)提供了解決方案,希望大家不要安裝不可信的應(yīng)用程序?!?/p>
在國內(nèi),目前已有多家手機廠商在自家的產(chǎn)品上添加了指紋識別功能,已經(jīng)發(fā)布的包括華為Mate7及榮耀7、中興AXON天機等。那么,他們是否也會在此次事件中躺槍呢?
中興技術(shù)人士向筆者表示,AXON天機的指紋數(shù)據(jù)是存儲在其內(nèi)核芯片的TrustZone區(qū)域的,這個區(qū)域與Android系統(tǒng)及其他硬件環(huán)境“完全隔離”。所以,黑客即便攻破Android系統(tǒng)也是無法進入TrustZone獲取用戶的指紋圖像。
指紋解鎖被黑 三星谷歌如何自證清白?
而在此前,華為也對其指紋識別功能做出了公開說明并稱其是一套基于芯片硬件的安全解決方案:指紋加密、存儲、校驗的程序是運行在海思芯片里物理隔離的安全OS中,安卓環(huán)境下的程序無法直接訪問,即使手機被root后,這部分仍然不能被訪問和篡改。同時,手機并不會保存指紋圖像,只保存經(jīng)過提取后的模板信息,通過指紋模板并不能還原出指紋圖像。
需要指出的是,谷歌在AndroidM系統(tǒng)中才加入了原生的指紋識別功能,當(dāng)前各大手機廠商所搭載的上述功能多為自行研發(fā)或使用第三方技術(shù)。而國內(nèi)目前的指紋識別功能基本來自通用的解決方案,即基于ARM芯片上面的TrustZone區(qū)域,控制指紋區(qū)域的系統(tǒng)與Android系統(tǒng)相互獨立,并只為Android程序提供指紋正確或錯誤的信息。
目前從官方口徑上看,此次漏洞對國內(nèi)的設(shè)備貌似沒有太大影響。
當(dāng)然,各位也不必太過緊張。一方面,這一漏洞的曝光來自黑客大會的演示,谷歌一般會很快修復(fù)這類漏洞。而另一方面,目前市面上支持指紋識別功能的Android智能手機還并不多,故其造成的影響也許還不會太大。
但是,已有預(yù)測報告指出,到2019年,全球?qū)⒂幸话氲闹悄苁謾C裝載指紋傳感裝置,屆時來自個人信息安全方面的威脅將大大增加——相比于傳統(tǒng)密碼,指紋識別雖然在理論上更安全,但一旦失竊所造成的影響可能更嚴(yán)重。對于前者,你可以通過更換新的更復(fù)雜的字母數(shù)字組合提高安全性;而對于后者,你總不能為手指去做個整形手術(shù)以錄入新的指紋吧?
至于怎么預(yù)防,則還是老生常談:去靠譜的渠道下載APP,沒事兒別ROOT。
說了半天,一直都在說Android設(shè)備,蘋果的呢?好消息是,對于iPhone和iPad用戶,截止目前,黑客們還未攻破iOS系統(tǒng)的TouchID。