近日,腾讯安全玄武实验室和浙江大学的研究人员在论文《BrutePrint:暴露智能手机指纹认证的暴力攻击》中,披露了一种针对安卓和鸿蒙手机指纹识别的新攻击方法。该方法利用了两个零日漏洞和指纹传感器的串行外设接口(SPI)上的生物识别数据保护不足,可以无限次提交指纹图像,通过暴力穷举的方式破解指纹识别。
据了解,该攻击方法需要对目标设备进行物理访问,并使用一个成本约为15美元(约合106元人民币)的设备,包括一个可抑制的攻击板、一个硬件自动点击器和一个可选的操作板。攻击者还需要从学术数据集或生物识别数据泄漏中获取指纹数据库,并通过“神经风格转换”系统将数据库中的所有指纹图像转换为看起来像是目标设备的传感器扫描图像。
研究人员对10款常见的智能手机进行了测试,其中包括6款安卓手机、2款华为鸿蒙手机以及2款iPhone。测试结果显示,所有安卓和鸿蒙设备都至少存在一个允许入侵的漏洞,可以被无限次暴力破解。而iOS设备由于防御机制更严格,只能被额外尝试10次(共15次)。
研究人员建议用户尽量避免在手机上录入多个指纹信息,并使用其他形式的身份验证方式,如密码、PIN码或面部识别。同时,他们也呼吁智能手机厂商加强对指纹传感器和生物识别数据的保护,并及时修复相关漏洞。
此次研究揭示了安卓与鸿蒙智能手机指纹识别技术存在的安全隐患,也提醒了用户和厂商对生物识别技术应该保持警惕和审慎。作为一种便捷而普遍的身份验证方式,指纹识别不仅涉及到用户的隐私保护,也关乎到用户的财产安全和信息安全,并且作为伴随人一生的生物识别信息,一次泄露便意味着终生的不安全。因此,在享受技术带来的便利的同时,也要注意防范技术带来的风险。