bandao.com腾讯和浙江大学发现安卓和鸿蒙的指纹识别比iPhone更容易被破解!近日,腾讯安全玄武实验室和浙江大学的研究人员发现了一种名为“BrutePrint”的攻击,该攻击可以使智能手机容易受到指纹暴力破解攻击bandao.com。指纹识别技术是现代智能手机中广泛使用的一种生物识别技术bandao.com,可用于解锁设备、支付和授权等方面,因其方便性和安全性而备受欢迎。
然而,该攻击利用了两个零日漏洞bandao.com,分别是“Cancel-After-Match-Fail”(CAMF)和“Match-After-Lock”(MAL),有效地绕过了现有的保护措施bandao.com,如尝试次数限制和检测。CAMF漏洞允许攻击者无限次尝试指纹解锁,而不会触发设备上的尝试次数限制,这意味着攻击者可以通过暴力破解攻击获得设备的访问权限。MAL漏洞则使攻击者可以在设备上锁定状态下继续尝试指纹解锁,从而成功地绕过了设备的尝试次数限制。
此外,研究人员还发现,指纹传感器的串行外设接口(SPI)上的生物识别数据没有得到充分保护bandao.combandao.combandao.com,使得中间人(MITM)攻击劫持指纹图像成为可能。这意味着攻击者可以在指纹传感器和设备处理器之间插入一个设备,以拦截和修改指纹图像,从而获得访问权限bandao.com。
BrutePrint攻击是一种利用了指纹传感器漏洞的攻击方式,攻击者可以通过这种攻击方式绕过现有的保护措施,如尝试次数限制和检测bandao.com,从而使智能手机容易受到指纹暴力破解攻击bandao.com。攻击者只需拥有目标设备的物理访问权限、一个指纹数据库和大约15美元的设备,就可以提交无限次数的指纹图像,直到找到与用户定义的指纹匹配的图像。
研究人员在十款流行的智能手机上测试了BrutePrint和SPI MITM攻击,成功地在所有安卓手机和华为HarmonyOS手机上实现了无限次数的指纹解锁尝试。此外,他们还能在iOS设备上进行十次额外的尝试,也就是总共15次尝试。
BrutePrint攻击的原理是,在指纹传感器的串行外设接口(SPI)上,存储的生物识别数据缺乏足够的保护bandao.com,使得攻击者可以通过中间人攻击(MITM)截取指纹图像。攻击者可以收集指纹数据库,从学术数据集或生物识别数据泄露中获取数据,并将其转换为可供攻击使用的格式bandao.com。攻击者还需要使用一个设备来模拟指纹传感器,然后将其与目标设备连接,以便将攻击者的图像发送到目标设备bandao.com。攻击者只需提交无限次数的指纹图像,直到找到与用户定义的指纹匹配的图像。
这种攻击对于使用指纹识别技术的设备来说是一个严重的安全威胁,因为攻击者可以通过这种攻击方式获得设备的访问权限。厂商需要及时修复漏洞并加强对指纹数据的保护,同时用户也应该注意设备的安全设置,避免使用不明来源的应用程序和不安全的网络连接,以减少受到攻击的风险bandao.com。
在研究人员的实验中,iPhone SE和iPhone 7虽然也会受到BrutePrint攻击的影响bandao.com,但是由于iOS系统对SPI上的指纹数据进行了加密,攻击者拦截到的数据基本上是无意义的,因此这种攻击对于iOS设备来说并不是一个严重的威胁。同时,iPhone SE和iPhone 7也能将指纹尝试次数增加到15次,这意味着攻击者不能通过BrutePrint攻击暴力破解iPhone的指纹识别系统bandao.com。
然而,对于其他使用指纹识别技术的设备来说bandao.com,BrutePrint攻击仍然是一个严重的安全威胁。攻击者可以通过这种攻击方式获取设备的访问权限,从而导致金融损失和身份盗用等后果。因此,研究人员建议手机厂商和操作系统开发者加强对指纹传感器数据的加密和验证bandao.com,以防止类似的攻击。同时,用户也应该注意设备的安全设置和使用习惯bandao.com,避免受到指纹识别技术的攻击。
对于iOS设备来说,加密生物识别数据是非常重要的安全功能之一bandao.com。iOS系统对SPI上的指纹数据进行了加密,这意味着攻击者即使截获了指纹数据,也无法轻易地将其解密并利用bandao.com。这种加密生物识别数据的机制可以确保指纹识别系统的安全性,避免了BrutePrint攻击等类似的攻击方式,从而保护了用户的隐私和安全。
此外,对于敏感数据,iOS设备还可以使用硬件加密,将数据存储在设备上,并确保只有设备的主人才能访问这些数据。这些安全功能可以使iOS设备成为目前市场上最安全的智能手机之一。
总的来说,这种攻击对于使用指纹识别技术的设备来说是一个严重的安全威胁。为了保护设备和用户的安全,厂商需要及时修复漏洞并加强对指纹数据的保护bandao.combandao.com。同时,用户也应该注意设备的安全设置,避免使用不明来源的应用程序和不安全的网络连接bandao.com,以减少受到攻击的风险。