你以為手機(jī)的指紋辨識(shí)很安全？.doc

《你以為手機(jī)的指紋辨識(shí)很安全？.doc》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。

1、你以為手機(jī)的指紋辨識(shí)很安全？　　資安業(yè)者FireEye卻擔(dān)心，不夠安全的指紋辨識(shí)生態(tài)環(huán)境將讓此一終身可驗(yàn)證的使用者身份機(jī)制比密碼還要危險(xiǎn)許多，并在上周舉行的黑帽大會(huì)上展示各種攻擊技法。　　　　有愈來愈多行動(dòng)裝置具備指紋掃描與辨識(shí)功能，根據(jù)Capsule的估計(jì)，到了2019年全球的智慧型手機(jī)出貨量中將有一半內(nèi)建指紋掃描器。然而，資安業(yè)者FireEye卻擔(dān)心，不夠安全的指紋辨識(shí)生態(tài)環(huán)境將讓此一終身可驗(yàn)證的使用者身份機(jī)制比密碼還要危險(xiǎn)許多，并在上周舉行的黑帽大會(huì)（BlackHat2015）上展示各種攻擊技法?！　ireEy

2、e認(rèn)為，現(xiàn)代的行動(dòng)裝置在針對指紋的安全防護(hù)機(jī)制有所不足，從而導(dǎo)致指紋外泄的風(fēng)險(xiǎn)，包括混淆授權(quán)攻擊（ConfusedAuthorizaTIonAttack）、指紋資料儲(chǔ)存漏洞、指紋掃描器曝露漏洞，以及預(yù)載的指紋后門等。而假使未來駭客有能力從遠(yuǎn)端大量取得指紋，那么這恐怕將成為資安上的一場大災(zāi)難！　　所謂的混淆授權(quán)攻擊是讓使用者分不清楚所授權(quán)的指紋辨識(shí)用途，F(xiàn)ireEye研究人員設(shè)計(jì)了一個(gè)應(yīng)用程式來假冒手機(jī)的鎖機(jī)畫面，然后要求使用者利用指紋解鎖，但事實(shí)上該指紋是用來執(zhí)行金錢交易的憑證?！　≡谥讣y資料儲(chǔ)存漏洞方面，例如Fire

3、Eye就發(fā)現(xiàn)HTCOneMax上的指紋資料是以所有人都可存取的BMP圖檔儲(chǔ)存，雖然圖檔內(nèi)容遭到變更，但駭客仍能輕易重組成正確的指紋圖片，意味著并非所有業(yè)者都能妥善儲(chǔ)存使用者的指紋資料。HTC在獲得FireEye的通知后已修補(bǔ)了該漏洞。　　當(dāng)中最危險(xiǎn)的可能是手機(jī)指紋掃描器的漏洞。ARM的安全架構(gòu)設(shè)計(jì)允許業(yè)者隔離某些重要的設(shè)備，但大多數(shù)制造商卻未使用此一功能來保護(hù)指紋掃描器，使得駭客有機(jī)會(huì)存取指紋掃描器，透過惡意程式于背景持續(xù)接收來自該掃描器的資訊。研究人員并成功地在HTCMaxOne與SamsungGalaxyS5上取得

4、指紋掃描器的存取權(quán)，每當(dāng)掃描器運(yùn)作時(shí)就能取得指紋資訊。不過HTC與三星皆已修補(bǔ)相關(guān)漏洞?！　≡诖艘还魣鼍爸?，蘋果的TouchID相對安全，主因?yàn)樘O果加密了所有自指紋掃描器傳出的資料，就算駭客能夠讀取掃描器，但也必須取得加密金鑰才能獲得指紋影像?！　●斂瓦€可在手機(jī)未交到使用者手上前便嵌入指紋后門，加入自己的指紋資訊，以自己的指紋充當(dāng)該裝置的憑證?！　≡缇陀胁簧俚馁Y安業(yè)者針對生物辨識(shí)認(rèn)證機(jī)制提出警告，指出在密碼時(shí)代，當(dāng)密碼外泄時(shí)，只要重新設(shè)定一個(gè)新密碼即可，但指紋外泄卻是更大的災(zāi)難，因?yàn)橹讣y代表了使用者的身份，從犯罪記錄

5、、出入境紀(jì)錄，到銀行憑證等。FireEye建議，所有的平臺(tái)都應(yīng)改善指紋認(rèn)證框架以強(qiáng)化對指紋資料及指紋掃描器的保護(hù)，也建議使用者定期更新裝置并避免從不安全的