近日，騰訊安全玄武實驗室和浙江大學的研究人員在論文《BrutePrint：暴露智能手機指紋認證的暴力攻擊》中，披露了一種針對安卓和鴻蒙手機指紋識別的新攻擊方法。該方法利用了兩個零日漏洞和指紋傳感器的串行外設接口（SPI）上的生物識別數(shù)據(jù)保護不足，可以無限次提交指紋圖像，通過暴力窮舉的方式破解指紋識別。

據(jù)了解，該攻擊方法需要對目標設備進行物理訪問，并使用一個成本約為15美元（約合106元人民幣）的設備，包括一個可抑制的攻擊板、一個硬件自動點擊器和一個可選的操作板。攻擊者還需要從學術數(shù)據(jù)集或生物識別數(shù)據(jù)泄漏中獲取指紋數(shù)據(jù)庫，并通過“神經風格轉換”系統(tǒng)將數(shù)據(jù)庫中的所有指紋圖像轉換為看起來像是目標設備的傳感器掃描圖像。 ?

研究人員對10款常見的智能手機進行了測試，其中包括6款安卓手機、2款華為鴻蒙手機以及2款iPhone。測試結果顯示，所有安卓和鴻蒙設備都至少存在一個允許入侵的漏洞，可以被無限次暴力破解。而iOS設備由于防御機制更嚴格，只能被額外嘗試10次（共15次）。

研究人員建議用戶盡量避免在手機上錄入多個指紋信息，并使用其他形式的身份驗證方式，如密碼、PIN碼或面部識別。同時，他們也呼吁智能手機廠商加強對指紋傳感器和生物識別數(shù)據(jù)的保護，并及時修復相關漏洞。

此次研究揭示了安卓與鴻蒙智能手機指紋識別技術存在的安全隱患，也提醒了用戶和廠商對生物識別技術應該保持警惕和審慎。作為一種便捷而普遍的身份驗證方式，指紋識別不僅涉及到用戶的隱私保護，也關乎到用戶的財產安全和信息安全，并且作為伴隨人一生的生物識別信息，一次泄露便意味著終生的不安全。因此，在享受技術帶來的便利的同時，也要注意防范技術帶來的風險。

?

文中圖片來源于網(wǎng)絡

?

電科技（www.diankeji.com）是一家專注于全球TMT行業(yè)的領先資訊媒體。

作為今日頭條青云計劃、百家號百+計劃獲得者，2019百度數(shù)碼年度作者、百家號科技領域最具人氣作者、2019搜狗科技文化作者、2021百家號季度影響力創(chuàng)作者，曾榮獲2013搜狐最佳行業(yè)媒體人、2015中國新媒體創(chuàng)業(yè)大賽北京賽季軍、 2015年度光芒體驗大獎、2015中國新媒體創(chuàng)業(yè)大賽總決賽季軍、2018百度動態(tài)年度實力紅人等諸多大獎。

投稿、商務合作請聯(lián)絡微信公眾號

聲明： 本站原創(chuàng)文章文字版權歸電科技所有，轉載務必注明作者和出處；本站轉載文章僅僅代表原作者觀點，不代表電科技立場，圖文版權歸原作者所有。如有侵權，請聯(lián)系我們刪除。