(相關(guān)資料圖)

近日，騰訊安全玄武實(shí)驗(yàn)室和浙江大學(xué)的研究人員在論文《BrutePrint：暴露智能手機(jī)指紋認(rèn)證的暴力攻擊》中，披露了一種針對(duì)安卓和鴻蒙手機(jī)指紋識(shí)別的新攻擊方法。該方法利用了兩個(gè)零日漏洞和指紋傳感器的串行外設(shè)接口（SPI）上的生物識(shí)別數(shù)據(jù)保護(hù)不足，可以無限次提交指紋圖像，通過暴力窮舉的方式破解指紋識(shí)別。

據(jù)了解，該攻擊方法需要對(duì)目標(biāo)設(shè)備進(jìn)行物理訪問，并使用一個(gè)成本約為15美元（約合106元人民幣）的設(shè)備，包括一個(gè)可抑制的攻擊板、一個(gè)硬件自動(dòng)點(diǎn)擊器和一個(gè)可選的操作板。攻擊者還需要從學(xué)術(shù)數(shù)據(jù)集或生物識(shí)別數(shù)據(jù)泄漏中獲取指紋數(shù)據(jù)庫，并通過“神經(jīng)風(fēng)格轉(zhuǎn)換”系統(tǒng)將數(shù)據(jù)庫中的所有指紋圖像轉(zhuǎn)換為看起來像是目標(biāo)設(shè)備的傳感器掃描圖像。

研究人員對(duì)10款常見的智能手機(jī)進(jìn)行了測(cè)試，其中包括6款安卓手機(jī)、2款華為鴻蒙手機(jī)以及2款iPhone。測(cè)試結(jié)果顯示，所有安卓和鴻蒙設(shè)備都至少存在一個(gè)允許入侵的漏洞，可以被無限次暴力破解。而iOS設(shè)備由于防御機(jī)制更嚴(yán)格，只能被額外嘗試10次（共15次）。

研究人員建議用戶盡量避免在手機(jī)上錄入多個(gè)指紋信息，并使用其他形式的身份驗(yàn)證方式，如密碼、PIN碼或面部識(shí)別。同時(shí)，他們也呼吁智能手機(jī)廠商加強(qiáng)對(duì)指紋傳感器和生物識(shí)別數(shù)據(jù)的保護(hù)，并及時(shí)修復(fù)相關(guān)漏洞。

此次研究揭示了安卓與鴻蒙智能手機(jī)指紋識(shí)別技術(shù)存在的安全隱患，也提醒了用戶和廠商對(duì)生物識(shí)別技術(shù)應(yīng)該保持警惕和審慎。作為一種便捷而普遍的身份驗(yàn)證方式，指紋識(shí)別不僅涉及到用戶的隱私保護(hù)，也關(guān)乎到用戶的財(cái)產(chǎn)安全和信息安全，并且作為伴隨人一生的生物識(shí)別信息，一次泄露便意味著終生的不安全。因此，在享受技術(shù)帶來的便利的同時(shí)，也要注意防范技術(shù)帶來的風(fēng)險(xiǎn)。

文中圖片來源于網(wǎng)絡(luò)

責(zé)任編輯：

標(biāo)簽：