※ 本文為 ott 轉寄自 ptt.cc 更新時間: 2015-08-11 12:57:17
看板 MobileComm
作者 標題 [新聞] 你以為手機的指紋辨識很安全?FireEye安
時間 Tue Aug 11 12:18:17 2015
你以為手機的指紋辨識很安全?FireEye安全專家告訴你:不!
有愈來愈多行動裝置具備指紋掃描與辨識功能,根據Capsule的估計,到了2019年全球的智
慧型手機出貨量中將有一半內建指紋掃描器。然而,資安業者FireEye卻擔心,不夠安全的
指紋辨識生態環境將讓此一終身可驗證的使用者身份機制比密碼還要危險許多,並在上周
舉行的黑帽大會(Black Hat 2015)上展示各種攻擊技法。
慧型手機出貨量中將有一半內建指紋掃描器。然而,資安業者FireEye卻擔心,不夠安全的
指紋辨識生態環境將讓此一終身可驗證的使用者身份機制比密碼還要危險許多,並在上周
舉行的黑帽大會(Black Hat 2015)上展示各種攻擊技法。
FireEye認為,現代的行動裝置在針對指紋的安全防護機制有所不足,從而導致指紋外洩的
風險,包括混淆授權攻擊(Confused Authorization Attack)、指紋資料儲存漏洞、指紋
掃描器曝露漏洞,以及預載的指紋後門等。而假使未來駭客有能力從遠端大量取得指紋,
那麼這恐怕將成為資安上的一場大災難!
風險,包括混淆授權攻擊(Confused Authorization Attack)、指紋資料儲存漏洞、指紋
掃描器曝露漏洞,以及預載的指紋後門等。而假使未來駭客有能力從遠端大量取得指紋,
那麼這恐怕將成為資安上的一場大災難!
所謂的混淆授權攻擊是讓使用者分不清楚所授權的指紋辨識用途,FireEye研究人員設計了
一個應用程式來假冒手機的鎖機畫面,然後要求使用者利用指紋解鎖,但事實上該指紋是
用來執行金錢交易的憑證。
一個應用程式來假冒手機的鎖機畫面,然後要求使用者利用指紋解鎖,但事實上該指紋是
用來執行金錢交易的憑證。
在指紋資料儲存漏洞方面,例如FireEye就發現HTC One Max上的指紋資料是以所有人都可
存取的BMP圖檔儲存,雖然圖檔內容遭到變更,但駭客仍能輕易重組成正確的指紋圖片,
意味著並非所有業者都能妥善儲存使用者的指紋資料。HTC在獲得FireEye的通知後已修
補了該漏洞。
存取的BMP圖檔儲存,雖然圖檔內容遭到變更,但駭客仍能輕易重組成正確的指紋圖片,
意味著並非所有業者都能妥善儲存使用者的指紋資料。HTC在獲得FireEye的通知後已修
補了該漏洞。
當中最危險的可能是手機指紋掃描器的漏洞。ARM的安全架構設計允許業者隔離某些重要的
設備,但大多數製造商卻未使用此一功能來保護指紋掃描器,使得駭客有機會存取指紋掃
描器,透過惡意程式於背景持續接收來自該掃描器的資訊。研究人員並成功地在HTC Max
One與Samsung Galaxy S5上取得指紋掃描器的存取權,每當掃描器運作時就能取得指紋資
訊。不過HTC與三星皆已修補相關漏洞。
設備,但大多數製造商卻未使用此一功能來保護指紋掃描器,使得駭客有機會存取指紋掃
描器,透過惡意程式於背景持續接收來自該掃描器的資訊。研究人員並成功地在HTC Max
One與Samsung Galaxy S5上取得指紋掃描器的存取權,每當掃描器運作時就能取得指紋資
訊。不過HTC與三星皆已修補相關漏洞。
在此一攻擊場景中,蘋果的Touch ID相對安全,主因為蘋果加密了所有自指紋掃描器傳出
的資料,就算駭客能夠讀取掃描器,但也必須取得加密金鑰才能獲得指紋影像。
駭客還可在手機未交到使用者手上前便嵌入指紋後門,加入自己的指紋資訊,以自己的指
紋充當該裝置的憑證。
早就有不少的資安業者針對生物辨識認證機制提出警告,指出在密碼時代,當密碼外洩時
,只要重新設定一個新密碼即可,但指紋外洩卻是更大的災難,因為指紋代表了使用者的
身份,從犯罪記錄、出入境紀錄,到銀行憑證等。FireEye建議,所有的平台都應改善指
紋認證框架以強化對指紋資料及指紋掃描器的保護,也建議使用者定期更新裝置並避免
從不安全的來源安裝程式。(編譯/陳曉莉)
,只要重新設定一個新密碼即可,但指紋外洩卻是更大的災難,因為指紋代表了使用者的
身份,從犯罪記錄、出入境紀錄,到銀行憑證等。FireEye建議,所有的平台都應改善指
紋認證框架以強化對指紋資料及指紋掃描器的保護,也建議使用者定期更新裝置並避免
從不安全的來源安裝程式。(編譯/陳曉莉)
iThome
http://www.ithome.com.tw/news/98012
你以為手機的指紋辨識很安全?FireEye安全專家告訴你:不! | iThome
![[圖]]()
資安業者FireEye卻擔心,不夠安全的指紋辨識生態環境將讓此一終身可驗證的使用者身份機制比密碼還要危險許多,並在上周舉行的黑帽大會上展示各種攻擊技法。 ...
![[圖]](http://static4.ithome.com.tw/sites/default/files/field/image/fingerprints.jpg)
-------
簡單來說,目前的所有指紋辨識功能當中,Apple 的 Touch ID 被認定為安全階段
因為Apple的Touch ID會在掃描指紋的同時會針對每一個影像檔案作加密
而這次被展示攻擊的苦主HTC One Max與三星的Galaxy S5
則是透過第三方解鎖畫面App取得相關的應用程式授權
存取了指紋辨識這一塊應用,然後就輕易讀取到指紋辨識圖檔
攻擊者就可以利用這個圖檔來解鎖,並存取裝置上的內容
不過這個漏洞兩家業者已經補掉了,指紋辨識好不好用?其實有利有弊(′・ω・‵)
--
新しい北上、それがあたし。 ▁▁
▕様北▏
酸素魚雷を満載して、ちょっと大人になったでしょ。 ▕印上▏
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.98.102
※ 文章代碼(AID): #1LoNUDlW (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1439266701.A.BE0.html
※ 編輯: Kitakami (1.165.98.102), 08/11/2015 12:19:27
--
→ : 現在不是有用眼紋了嗎? 只是我一直設定不好 有沒帶1F 08/11 12:23
→ : 眼鏡也有差
→ : 眼鏡也有差
推 : 唉 身為HTC粉表示無奈... 我喜歡他們家的許多設計3F 08/11 12:24
→ : 但是常常出包被爆 實在一直打擊人的支持度
→ : 但是常常出包被爆 實在一直打擊人的支持度
推 : 已經patch掉了是好事就是...5F 08/11 12:35
→ : 手紋都會被駭了,眼紋不是一樣嗎?6F 08/11 12:40
推 : 這真的是漏洞?還是根本是趕鴨子上架,沒有用心在7F 08/11 12:41
→ : 做?
→ : 做?
→ : 好可怕!快去買htc 三星壓壓驚9F 08/11 12:51
推 : 王自如在某個影評說過ios與android指紋辨認的安全10F 08/11 12:54
→ : 性的「差距」,不過一般人大都只在意解鎖快不快而已
→ : ..
→ : 性的「差距」,不過一般人大都只在意解鎖快不快而已
→ : ..
--
※ 看板: ott 文章推薦值: 0 目前人氣: 0 累積人氣: 319
作者 Kitakami 的最新發文:
![]()
遇到問題手機:iPhone 12 Pro iOS版本:17.7.1->18.1 今天看到iOS推出18.1,想說更新一下好了,想不到更新到一半直接跳出1109錯誤訊息。 不過看板上好像沒有人遇到 …49F 24推- 16F 10推
- 15F 3推
- 32F 22推 4噓
- 44F 20推 2噓
點此顯示更多發文記錄
→
guest
回列表(←)
分享