MEMS/传感技术
近日,苏州迈瑞微电子有限公司向国家工信部、公安部、中国人民银行、网信办举报了手机指纹解锁存在的惊天漏洞!
记者用透明胶带+导电笔秒破安卓和苹果的指纹识别,甚至用于支付!任何人的指纹都可以解开你的手机!更甚者,一块橘子皮都行!
迈瑞微公司的工程师吴涵峰,给记者的大史演示了这种解锁漏洞,这是吴涵峰自己的安卓手机,里面只有他自己的指纹,正常情况下,大史无法解锁。吴涵峰往手机指纹按键上贴了一层透明胶带,
自己开启了几次手机,交给大史,大史用自己的手指,顺利解锁、开启了手机。
不仅是拇指,任何一根指头都能开!给别的工作人员,人人都能开!
然而检查手机设置,系统里确实只有吴涵峰自己录入的一个指纹。
好奇实验室又测试了其他四款手机,结果也是一样,连一向以安全著称的苹果,同样不能幸免。
破解指纹后,任何一个人还可以通过微信或者支付宝向他人转账。
吴涵峰说,真正发挥作用的,并不是透明胶带,而是胶带上用导电涂层涂抹的图案,图案看上去像是修正液痕迹,但贴上去以后就可以万物解锁了!
导电涂层有很多,最常见的就是导电笔,一支几十元,很容易就能买到。
导电材料,从中起到什么作用?苏州迈瑞微首席技术官李扬渊,解释了指纹锁的原理和它的漏洞。
手机指纹锁解锁判断的原则是:数据库里预存的数据,和你输进去的数据一致性,破解指纹锁,就是利用传感器本身,把“攻击图像”输入数据库。
“攻击图像”,就是抹在胶带上的那坨导电层图案!当它与指纹锁接触时,指纹传感器接收到的信息,其实是导电涂层,而不是手指指纹!
现在的智能手机都有自学习功能,把贴了导电图案的胶带黏在手机上,(需要注意,导电图案不能完全覆盖指纹传感器!)这样在手指解锁中,传感器识别了小部分机主指纹,开机!而胶带上的导电图案,虽然不是指纹,但手机同样会把它输入数据库又形成一个新的导电图案+机主指纹的解锁图像当其他人使用时,只要识别到那个导电图案,同样开机!
那为何机主只需要小部分指纹,而其他人用导电图案当指纹都能开机呢?迈瑞微首席技术官李扬渊说,这就是目前指纹解锁的最大BUG!指纹识别=认识+区别但目前包括苹果在内的指纹算法供应商只做了认识,是不是指纹不做区别。(同样也有考虑用户体验,解锁更快的目的。)利用这个漏洞,甚至不需要指纹,用橘子皮压一下,手机都能解锁。
相对来说,苹果手机会安全一点,苹果手机传感器的算法跟国产安卓手机不一样,在贴了导电层的胶带后,需要重新录入生成新的指纹,才可以让其他人解锁。
但迈瑞微公司认为,目前市面上热卖的指纹贴,将为作案提供更多的隐蔽性和欺骗性。
比如说,你的VIVO、华为、魅族、小米等国产安卓手机上有指纹贴,别人给你换一个做过手脚的指纹贴,你只要自己指纹开锁3次以上,任何人就能通过这个指纹贴开锁。
而如果你的苹果手机也有指纹贴,别人也给你换一个做过手脚的指纹贴,当你发现指纹不灵敏后,很可能会重新录入指纹,这时的指纹其实就是一个万能指纹。
迈瑞微首席技术官李扬渊说,指纹锁的漏洞不仅仅存在手机领域。在安防上,很多指纹门锁只要贴上一层膜,同样可以轻松被开启。
手机网银也可能 存在漏洞
“实际上,手机网上银行也风险重重。正常情况下,当机主使用手机网上银行时,一般都是产生银行账户和密码等机密信息。这些机密信息,按照正常要求,是要在手机里单独开辟一块很安全的私密空间,进行单独安全存储,也就是相当于在一个银行里设置一个保险箱。即使手机被植入木马病毒,这些机密信息也不会被盗取。
不过,现在很多品牌手机商,为了节约成本,在手机里,并没有单独为机主开设这个“保险箱”。一旦手机被植入木马病毒,这些存在手机里的机主机密信息,就成了“裸奔”的信息,可以被随意盗取。
建议,在使用手机网上银行时,一定要事先检查一下自己的手机里,是否设置了这个“保险箱”。如果无法确定,最好不要在手机上使用网上银行。
全部0条评论
快来发表一下你的评论吧 !