自现代智能手机首次集成指纹扫描仪以来,它就 引发了疑问:它安全吗?它可靠吗?谁将拥有我的指纹?
除了 许多外部方法可以欺骗扫描仪,安全公司 FireEye 的研究人员在 HTC One Max 和三星 Galaxy S5 等手机中发现了一个内部漏洞,使得黑客或恶意软件有可能复制指纹图像。该漏洞已在研究人员发现受影响的所有手机上修复,尽管尚不清楚补丁是如何应用的。
在谈论指纹有多么不安全之前,这里有几点关于智能手机需要注意的。智能手机只是一个没有键盘或鼠标的微型计算机。与任何计算机一样,智能手机将其数据组织到文件夹中。作为用户,您可以访问一些文件夹(例如包含和显示应用程序的文件夹,或包含图片的文件夹),而无法访问其他文件夹。这是为了防止意外删除重要文件。出于安全考虑,一些文件夹只能由手机操作系统访问;普通用户和应用程序无法进入。这些类型的文件夹通常是手机制造商存储指纹数据的地方。
三星和 HTC 没有这样做。相反,它们将指纹数据放入了一个名为 /data/ 的文件夹中,这是一个非常容易访问的文件夹。如果您有 Android 手机,您可以立即打开文件管理器并查看该文件夹。(它可能看起来是空的,但那是因为文件对您隐藏了。在大多数文件管理器的选项页面中都可以更改。)文件本身是常见的图像格式(.bmp),图像只受到微弱的安全保护。手机中的权限实际上称为“所有人可读”。因此,如果恶意应用程序想要获取您的指纹图像,将没有任何东西能阻止它。不需要获得root访问权限或网络钓鱼攻击。只需进入一个未受保护的文件夹即可。
保守估计,有 1200 万部手机可能面临指纹被盗的风险——这是最后一次可靠的 三星 S5 的销量数据。HTC One Max 的销量数据不太稳定,如果研究人员在其他手机上发现了相同的漏洞,他们并没有提及手机名称。
在他们的 报告 中,研究人员还提到了身份验证和授权之间的术语混淆。他们称之为“混淆的授权攻击”,即用户本意只想要解锁手机(身份验证),而恶意应用程序却利用同一个指纹来授权移动支付。 FIDO Alliance 是一个致力于维护在线安全的安全联盟,其成员包括微软、三星和谷歌,目前正在制定一项规范,以妥善解决这些漏洞。
