近日，騰訊安全玄武實(shí)驗(yàn)室和浙江大學(xué)的研究人員在論文《BrutePrint：暴露智能手機(jī)指紋認(rèn)證的暴力攻擊》中，披露了一種針對(duì)安卓和鴻蒙手機(jī)指紋識(shí)別的新攻擊方法。該方法利用了兩個(gè)零日漏洞和指紋傳感器的串行外設(shè)接口（SPI）上的生物識(shí)別數(shù)據(jù)保護(hù)不足，可以無限次提交指紋圖像，通過暴力窮舉的方式破解指紋識(shí)別。

據(jù)了解，該攻擊方法需要對(duì)目標(biāo)設(shè)備進(jìn)行物理訪問，并使用一個(gè)成本約為15美元（約合106元人民幣）的設(shè)備，包括一個(gè)可抑制的攻擊板、一個(gè)硬件自動(dòng)點(diǎn)擊器和一個(gè)可選的操作板。攻擊者還需要從學(xué)術(shù)數(shù)據(jù)集或生物識(shí)別數(shù)據(jù)泄漏中獲取指紋數(shù)據(jù)庫，并通過“神經(jīng)風(fēng)格轉(zhuǎn)換”系統(tǒng)將數(shù)據(jù)庫中的所有指紋圖像轉(zhuǎn)換為看起來像是目標(biāo)設(shè)備的傳感器掃描圖像。 ?

研究人員對(duì)10款常見的智能手機(jī)進(jìn)行了測試，其中包括6款安卓手機(jī)、2款華為鴻蒙手機(jī)以及2款iPhone。測試結(jié)果顯示，所有安卓和鴻蒙設(shè)備都至少存在一個(gè)允許入侵的漏洞，可以被無限次暴力破解。而iOS設(shè)備由于防御機(jī)制更嚴(yán)格，只能被額外嘗試10次（共15次）。

研究人員建議用戶盡量避免在手機(jī)上錄入多個(gè)指紋信息，并使用其他形式的身份驗(yàn)證方式，如密碼、PIN碼或面部識(shí)別。同時(shí)，他們也呼吁智能手機(jī)廠商加強(qiáng)對(duì)指紋傳感器和生物識(shí)別數(shù)據(jù)的保護(hù)，并及時(shí)修復(fù)相關(guān)漏洞。

此次研究揭示了安卓與鴻蒙智能手機(jī)指紋識(shí)別技術(shù)存在的安全隱患，也提醒了用戶和廠商對(duì)生物識(shí)別技術(shù)應(yīng)該保持警惕和審慎。作為一種便捷而普遍的身份驗(yàn)證方式，指紋識(shí)別不僅涉及到用戶的隱私保護(hù)，也關(guān)乎到用戶的財(cái)產(chǎn)安全和信息安全，并且作為伴隨人一生的生物識(shí)別信息，一次泄露便意味著終生的不安全。因此，在享受技術(shù)帶來的便利的同時(shí)，也要注意防范技術(shù)帶來的風(fēng)險(xiǎn)。

?

文中圖片來源于網(wǎng)絡(luò)

?

電科技（www.diankeji.com）是一家專注于全球TMT行業(yè)的領(lǐng)先資訊媒體。

作為今日頭條青云計(jì)劃、百家號(hào)百+計(jì)劃獲得者，2019百度數(shù)碼年度作者、百家號(hào)科技領(lǐng)域最具人氣作者、2019搜狗科技文化作者、2021百家號(hào)季度影響力創(chuàng)作者，曾榮獲2013搜狐最佳行業(yè)媒體人、2015中國新媒體創(chuàng)業(yè)大賽北京賽季軍、 2015年度光芒體驗(yàn)大獎(jiǎng)、2015中國新媒體創(chuàng)業(yè)大賽總決賽季軍、2018百度動(dòng)態(tài)年度實(shí)力紅人等諸多大獎(jiǎng)。

投稿、商務(wù)合作請(qǐng)聯(lián)絡(luò)微信公眾號(hào)

聲明： 本站原創(chuàng)文章文字版權(quán)歸電科技所有，轉(zhuǎn)載務(wù)必注明作者和出處；本站轉(zhuǎn)載文章僅僅代表原作者觀點(diǎn)，不代表電科技立場，圖文版權(quán)歸原作者所有。如有侵權(quán)，請(qǐng)聯(lián)系我們刪除。