Android 的指纹识别,比你想象中还要不安全?

oschina
 oschina
发布于 2015年04月24日
收藏 13

系统的开放与隐患永远是相伴相生,近日就有研究把矛头指向了 Android 系统的指纹识别。确切来说,主要指 Galaxy S5 的安全漏洞。

福布斯报道,安全研究机构 FireEye 发布的报告称,黑客很容易利用 Galaxy S5 上的指纹识别功能盗取用户信息,尽管三星会将用户的指纹存储在不同的“信任区域”(Trusted Zone)内。

研究者表示,攻击者只需创建需要系统级访问权限的恶意程序,一旦攻破 Android 内核,就可以长驱直入,无需访问信任区域的情况下也能读取指纹传感器。盗取信息后,黑客便可逆推生成指纹图像。

报告不单单针对 Galaxy S5,包括一些未指明的 Android 手机都有一样的漏洞。FireEye 的两位中国研究者 Tao Wei 和 Yulong Zhang 说:“用户每一次使用指纹识别器,黑客就能获取用户信息。生成指纹图像后,他们就可以为所欲为了。”

两位研究者已经将漏洞报告给三星,他们还为收到任何官方的升级补丁。不过他们补充说,这个安全隐患并没有想象中可怕,也不无解药,Android 5.0 以上的系统就不会有这个漏洞,因而理论上说,用户升级系统就可以避免悲剧的发生。

三星在一封官方邮件声明中说:“三星非常重视用户的隐私和数据安全,我们正在研究 FireEye 的研究报告。”

Galaxy S5 早在上市之初就被黑的满目疮痍,有人甚至分分钟破解了它的指纹识别。三星对开发者开放 Galaxy S5 指纹识别 API ,进而第三方应用也能够使用手机上的指纹识别功能,例如支付巨头 PayPal 允许用户通过指纹进行转账授权。

德国安全网站 Heise Security 就通过超高密度扫描仪采集用户指纹,制造出能够欺骗系统的 “指纹薄膜”。由于三星已对第三方应用开放了指纹识别,因此这次破解对 Galaxy S5 可谓是毫无障碍,破解人员可以直接用假指纹在 PayPal 上实现了转账。

Android 系统因其开放性,在安全性上一直受到质疑。事实证明,Android 平台的安全隐患的确不小。互联网安全公司 F-secure 发布的移动互联网安全报告指出,2012 年有 79% 的恶意软件都寄生于 Andriod 之上,相较之下,iOS 平台内的恶意软件仅占总量的 0.7%。

iOS 就绝对安全吗?对于黑客来说,破解 Touch ID 的指纹识别也是毫无压力,德国知名黑客 Starbug 就曾自己制作了一套指纹,成功骗过了 Touch ID 系统。

题图来自 BI

稿源:爱范儿

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Android 的指纹识别,比你想象中还要不安全?
加载中

最新评论(16

钱钱磊
钱钱磊
ios为什么安全,因为他什么都不让你干,这也限制,那也限制。有风险的限制都限制死了。
温习江湖
温习江湖
这文章的逻辑我怎么没看懂?先是获取底层权限,偷偷扫描获得指纹图像然后再为所欲为。已经获得底层权限的情况下我要指纹图像干嘛?难道不是为所欲为吗?
按照文章的逻辑,我还发现了一种轻易攻破任意指纹识别设备的方法。只要开一个淘宝店卖用户喜欢的东西,让用户成为剁手党,然后将剁下的手收集起来,就可以对有指纹识别的设备为所欲为了。这方法是不是更简单
MGL_TECH
MGL_TECH

引用来自“魔力猫”的评论

无论如何,要让一个非法程序入侵未越狱的苹果和WP手机,成本收益都远远低于安卓。
他们比安卓更难以入侵,一旦发现漏洞也很容易补上。这两家的更新都是属于比较迅速的。特别是后者,稀少的占有率让开发WP入侵程序多少有些无利可图。

引用来自“阿cat”的评论

看来你利用安卓系统盗取了不少财富,亦或是被盗了多少家产……佩服佩服,也说明iOS和wp是你的克星,远离他们两走向财富之路或穷光之路

引用来自“魔力猫”的评论

咱是良民。而且我手机是WP和苹果。安卓机仅仅用来看小说(廉价电信合约机)。
屌爆了,土豪啊,哥用的只是大哥大,绝对安全完爆什么苹果wp 安卓的,不服来破解一个哈哈
魔力猫
魔力猫

引用来自“魔力猫”的评论

无论如何,要让一个非法程序入侵未越狱的苹果和WP手机,成本收益都远远低于安卓。
他们比安卓更难以入侵,一旦发现漏洞也很容易补上。这两家的更新都是属于比较迅速的。特别是后者,稀少的占有率让开发WP入侵程序多少有些无利可图。

引用来自“阿cat”的评论

看来你利用安卓系统盗取了不少财富,亦或是被盗了多少家产……佩服佩服,也说明iOS和wp是你的克星,远离他们两走向财富之路或穷光之路
咱是良民。而且我手机是WP和苹果。安卓机仅仅用来看小说(廉价电信合约机)。
MGL_TECH
MGL_TECH

引用来自“魔力猫”的评论

无论如何,要让一个非法程序入侵未越狱的苹果和WP手机,成本收益都远远低于安卓。
他们比安卓更难以入侵,一旦发现漏洞也很容易补上。这两家的更新都是属于比较迅速的。特别是后者,稀少的占有率让开发WP入侵程序多少有些无利可图。
看来你利用安卓系统盗取了不少财富,亦或是被盗了多少家产……佩服佩服,也说明iOS和wp是你的克星,远离他们两走向财富之路或穷光之路
MGL_TECH
MGL_TECH
比iCloud安全多了,来吧入侵一个试试,盗取一下隐私,我都可以给你解开锁,你不用破解指纹,盗取吧……骚年
魔力猫
魔力猫
无论如何,要让一个非法程序入侵未越狱的苹果和WP手机,成本收益都远远低于安卓。
他们比安卓更难以入侵,一旦发现漏洞也很容易补上。这两家的更新都是属于比较迅速的。特别是后者,稀少的占有率让开发WP入侵程序多少有些无利可图。
Fanxme
Fanxme

引用来自“teleport”的评论

指纹就是编码,既然能编码输入到计算机,那就一定能被存储和复制,和密码有什么区别呢?还有虹膜!
听说, 这种是极其不安全的, 想换都换不了。
无论是编码输入, 还是其他途径破解, 一旦成功, 就全完了
kuerant
kuerant

引用来自“kuerant”的评论

android为什么不能谈安全?

引用来自“大大水牛”的评论

很多程序恨不得能有查看用户内裤颜色的权限
哦。我理解你要表达的意思了。不好意思,误会了。
愤怒的小兔
愤怒的小兔

引用来自“kuerant”的评论

android为什么不能谈安全?
很多程序恨不得能有查看用户内裤颜色的权限
返回顶部
顶部