系統(tǒng)漏洞BrutePrint暴力破解手機(jī)指紋,安卓/鴻蒙全遭殃
經(jīng)過(guò)這么些年發(fā)展,目前手機(jī)的解鎖方式可謂是五花八門(mén)。從最開(kāi)始的數(shù)字密碼到圖案密碼,再到后來(lái)的面部、虹膜、指紋解鎖等等。不過(guò),作為時(shí)代的選擇,指紋解鎖在安卓手機(jī)界無(wú)疑是應(yīng)用最廣的,不過(guò)最近的一個(gè)手機(jī)系統(tǒng)漏洞,又讓指紋解鎖站上了“浪尖”。
手機(jī)解鎖方式的發(fā)展
在聊這個(gè)系統(tǒng)漏洞之前,有必要先同大家科普一下的手機(jī)解鎖方式的發(fā)展。
圖案與數(shù)字密碼
數(shù)字密碼雖然最早出現(xiàn),但放到現(xiàn)在依然受到廣泛使用,安全性也相對(duì)較高。甭管其他解鎖方式多么高級(jí)便捷,絕大部分用戶依然會(huì)將手機(jī)數(shù)字密碼鎖給安排上。
圖案密碼與數(shù)字密碼有著異曲同工之處,9 個(gè)點(diǎn)位可以理解為 1-9 這幾位數(shù)字。按照不同點(diǎn)位順次相連,本質(zhì)上也就相當(dāng)于不同數(shù)字組合。
?
面部與虹膜解鎖
再說(shuō)到面部解鎖,以及虹膜解鎖,他們都是利用了圖像技術(shù)。前者包括 2D 面容與 3D 面容兩種方式,3D 更加安全,例如蘋(píng)果的 3D 結(jié)構(gòu)光。
虹膜識(shí)別理論上來(lái)說(shuō)是目前最安全的解鎖方式之一。因?yàn)楹缒な侨梭w非常特殊的生物特性,其具有超高準(zhǔn)確性、極難偽造等特點(diǎn)。但目前虹膜解鎖技術(shù)還不夠成熟,實(shí)現(xiàn)難度較大成本較高,因此暫時(shí)并未獲得智能手機(jī)解鎖方式的廣泛支持。
??
指紋解鎖
再回過(guò)頭說(shuō)說(shuō)指紋解鎖,其實(shí)世界上第一臺(tái)指紋解鎖手機(jī)可追溯到 1998 年西門(mén)子公司推出的 1088。
?
可惜的是西門(mén)子 1088 僅有工程樣品機(jī),最終沒(méi)能得到量產(chǎn)。直到 2011 年摩托羅拉推出的 ME860,才算正式將指紋解鎖帶入了量產(chǎn)機(jī)領(lǐng)域。然而該手機(jī)在當(dāng)時(shí)太過(guò)冷門(mén),沒(méi)能獲得消費(fèi)者廣泛認(rèn)可。
后來(lái)蘋(píng)果公司的 iPhone 5s 首次為 Home 按鍵帶來(lái)了按壓式指紋解鎖。
同時(shí)將指紋解鎖與移動(dòng)支付相結(jié)合,真正為用戶帶來(lái)了軟硬件協(xié)同體驗(yàn)。至此,各品牌智能手機(jī)開(kāi)始跟隨步伐,正式進(jìn)入指紋解鎖時(shí)代。背部指紋、側(cè)邊指紋、屏幕光學(xué)指紋、超聲波指紋,各種指紋技術(shù)層出不窮。
?
新系統(tǒng)漏洞“現(xiàn)世”
直到目前,指紋解鎖已成了智能手機(jī)解鎖方式的“標(biāo)準(zhǔn)答案”,同時(shí)也是大家最廣泛使用的一種解鎖方式。但就在最近,騰訊安全玄武實(shí)驗(yàn)室和浙江大學(xué)的研究人員發(fā)現(xiàn)了一個(gè)系統(tǒng)漏洞:
通過(guò)一種名叫「BrutePrint」的新攻擊手段,利用手機(jī)系統(tǒng)漏洞破解指紋鎖,從而獲得控制權(quán)。
?
該手段利用了系統(tǒng)漏洞和指紋傳感器的設(shè)計(jì)缺陷,可以通過(guò)不斷提交指紋圖像,直到匹配到用戶注冊(cè)的指紋。
攻擊者只需要借助公開(kāi)的指紋數(shù)據(jù)庫(kù),以及一個(gè)成本約為 15 美元的串行接口設(shè)備就能實(shí)現(xiàn)。他們測(cè)試的手機(jī)樣本包括安卓、鴻蒙以及 iOS,特別是安卓和鴻蒙設(shè)備可以被無(wú)限次暴力破解,iOS 設(shè)備則具有一定保護(hù)機(jī)制。
?
不過(guò)目前研究人員已經(jīng)向手機(jī)廠商報(bào)告了該漏洞,咱們只需要等待修復(fù)完善解鎖保護(hù)策略,也不用擔(dān)心什么人都可以利用手機(jī)系統(tǒng)漏洞破解指紋鎖。
總結(jié)
手機(jī)系統(tǒng)漏洞終將被修復(fù),作為普通用戶也不必太過(guò)擔(dān)心,大不了改用其它手機(jī)解鎖方式。至于老安卓手機(jī)用戶,實(shí)在是擔(dān)心可以暫時(shí)先停用指紋解鎖,另外,別把手機(jī)搞丟了就行。
本文編輯:@ 小淙
?本文著作權(quán)歸電手所有,未經(jīng)電手許可,不得轉(zhuǎn)載使用。
