屏下指纹解锁安全漏洞不容忽视,产品安全设计须谨慎。
建议各互联网企业针对此漏洞赶紧制定应对方案,金融行业APP、社交行业APP、政务类APP等都须针对安卓全面屏下解锁功能的手机停用指纹授权的功能,如指纹支付和指纹登录等应用场景。
10月24日,GeekPwn2018国际安全极客大赛在上海开幕。继前年的鼻尖解锁、去年的照片解锁之后,手机解锁又被破解高手们“盯上”了。这一次,来自腾讯安全玄武实验室的专家使用一张塑料卡片,用比科幻电影还科幻的手法破解了时下最新的指纹解锁方式——屏下指纹解锁。
最新的指纹解锁方式,为何被攻破?
值得注意的是,这是屏下指纹解锁的漏洞首次被公开披露。据了解,指纹解锁有多种原理和路径,比如利用电容、光学、超声波等等。目前,电容解锁仍是主流方式,基于光学原理的屏下指纹解锁手机,才刚刚进入市场。
近年来,全面屏手机越来越受用户欢迎,屏下指纹解锁之所以成为手机厂商的新宠,也是为了向用户提供更大的手机屏幕。传统的电容解锁必须有解锁键,屏下指纹解锁则不需要。用户轻微按压屏幕时,手机的OLED屏像素会发出光线将指纹照亮。不同纹路反射的光线不同,指纹传感器会根据反射光线形成指纹图像,与数据库分析比对后达到指纹解锁的目的。
他对隐私护卫队透露,研究期间的破解成功率非常高。根据目标手机和算法的不同,研究人员可以使用各种工具实现解锁,不一定是今天大赛现场使用的白色卡片。“正常使用手机的情况下,基本上都可以破解。除非是冬天,人的手非常干冷、没有任何汗渍,屏幕上的残迹很少。”
腾讯安全玄武实验室负责人于旸介绍,用户按压屏幕时多少会留下一些手印,也就是指纹残迹,这为破解提供了条件。研究人员通过反射体欺骗的方法,可以让屏下指纹传感器认为手机的主人正在使用指纹验证。因此,该漏洞被实验室命名为“残迹重用漏洞”。
漏洞已被修复,用户无需过分担忧
于旸再三强调,“残迹重用漏洞”几乎在所有的安卓手机上都有出现,并不能归咎于哪一个手机厂商。漏洞的根源在屏下指纹识别技术的设计层面,不同国家和地区、不同厂商开发的屏下指纹芯片和识别算法,都存在同样的问题。
“设计层面的漏洞数量不多,但影响深远。”于旸说,对于新的技术,如果没有在早期发现问题,而是等技术广泛使用后再处理,就要花费极其高昂的代价,甚至无法完善解决。比如玄武实验室2015年发现的BadBarcode漏洞,过去二十年间所有条码阅读器厂商的大部分产品可能都存在该问题,彻底消除影响是不可能的。
好消息是,“残迹重用漏洞”已经被修复。据了解,玄武实验室今年初就开始和国内几家主流手机厂商合作,不仅通过更新算法修复了已上市手机中的漏洞,还将相关解决信息提交给相关芯片厂商,推动了供应链层面的安全修复。于旸对此很自豪,在他看来,残迹重用漏洞”的修复过程,是手机厂商、应用开发商、网络安全研究者多方携手、协作联动的典型案例。
近年来,指纹解锁手机逐渐普及,相关的破解层出不穷,甚至出现了不少十分耸动的消息。于旸告诉隐私护卫队,很多的破解案例启示都是偏向于理论的,需要一定的实验条件,用户大可不必过分担忧。
至于已被修复的“残迹重用漏洞”,他告诉隐私护卫队,如果用户真的非常担心,可以通过一个简单的操作来避免破解风险:解锁后手指在屏幕上顺手一抹,把残留的指纹痕迹弄模糊或擦干净即可。
虽然漏洞已被修复,但只是算法和安全协议上的优化,并未根治,指纹在屏幕上留下的残迹依然还在,所以建议各互联网企业针对此漏洞赶紧制定应对方案,金融行业APP、社交行业APP等都须针对安卓全面屏下解锁功能的手机停用指纹授权的功能,如指纹支付和指纹登录等应用场景。
原创文章,作者:DevilStefan
,如若转载,请注明出处:https://www.pmtemple.com/fengsaitao/1547/
微信扫一扫 
支付宝扫一扫 
