你以为手机的指纹辨识很安全？

　　资安业者FireEye却担心，不够安全的指纹辨识生态环境将让此一终身可验证的使用者身份机制比密码还要危险许多，并在上周举行的黑帽大会上展示各种攻击技法。

　　有愈来愈多行动装置具备指纹扫描与辨识功能，根据Capsule的估计，到了2019年全球的智慧型手机出货量中将有一半内建指纹扫描器。然而，资安业者 FireEye却担心，不够安全的指纹辨识生态环境将让此一终身可验证的使用者身份机制比密码还要危险许多，并在上周举行的黑帽大会（Black Hat 2015）上展示各种攻击技法。

　　FireEye认为，现代的行动装置在针对指纹的安全防护机制有所不足，从而导致指纹外泄的风险，包括混淆授权攻击（Confused Authorization Attack）、指纹资料储存漏洞、指纹扫描器曝露漏洞，以及预载的指纹后门等。而假使未来骇客有能力从远端大量取得指纹，那么这恐怕将成为资安上的一场大灾难！

　　所谓的混淆授权攻击是让使用者分不清楚所授权的指纹辨识用途，FireEye研究人员设计了一个应用程式来假冒手机的锁机画面，然后要求使用者利用指纹解锁，但事实上该指纹是用来执行金钱交易的凭证。

　　在指纹资料储存漏洞方面，例如FireEye就发现HTC One Max上的指纹资料是以所有人都可存取的BMP图档储存，虽然图档内容遭到变更，但骇客仍能轻易重组成正确的指纹图片，意味着并非所有业者都能妥善储存使用者的指纹资料。HTC在获得FireEye的通知后已修补了该漏洞。

　　当中最危险的可能是手机指纹扫描器的漏洞。ARM的安全架构设计允许业者隔离某些重要的设备，但大多数制造商却未使用此一功能来保护指纹扫描器，使得骇客有机会存取指纹扫描器，透过恶意程式于背景持续接收来自该扫描器的资讯。研究人员并成功地在HTC Max One与Samsung Galaxy S5上取得指纹扫描器的存取权，每当扫描器运作时就能取得指纹资讯。不过HTC与三星皆已修补相关漏洞。

　　在此一攻击场景中，苹果的Touch ID相对安全，主因为苹果加密了所有自指纹扫描器传出的资料，就算骇客能够读取扫描器，但也必须取得加密金钥才能获得指纹影像。

　　骇客还可在手机未交到使用者手上前便嵌入指纹后门，加入自己的指纹资讯，以自己的指纹充当该装置的凭证。

　　早就有不少的资安业者针对生物辨识认证机制提出警告，指出在密码时代，当密码外泄时，只要重新设定一个新密码即可，但指纹外泄却是更大的灾难，因为指纹代表了使用者的身份，从犯罪记录、出入境纪录，到银行凭证等。FireEye建议，所有的平台都应改善指纹认证框架以强化对指纹资料及指纹扫描器的保护，也建议使用者定期更新装置并避免从不安全的来源安装程式。