十几亿手机惊曝指纹漏洞!橘子皮+导电笔+胶带秒开指纹锁!
2018/1/15 11:23:41

近日,苏州迈瑞微电子有限公司向国家工信部、公安部、中国人民银行、网信办举报了手机指纹解锁存在的惊天漏洞!

好奇实验室用透明胶带+导电笔秒破安卓和苹果的指纹识别,甚至用于支付!任何人的指纹都可以解开你的手机!更甚者,一块橘子皮都行!

迈瑞微公司的工程师吴涵峰,给好奇实验室的大史演示了这种解锁漏洞,这是吴涵峰自己的安卓手机,里面只有他自己的指纹,正常情况下,大史无法解锁。吴涵峰往手机指纹按键上贴了一层透明胶带,

自己开启了几次手机,交给大史,大史用自己的手指,顺利解锁、开启了手机。

不仅是拇指,任何一根指头都能开!给别的工作人员,人人都能开!

然而检查手机设置,系统里确实只有吴涵峰自己录入的一个指纹。

好奇实验室又测试了其他四款手机,结果也是一样,连一向以安全著称的苹果,同样不能幸免。

破解指纹后,任何一个人还可以通过微信或者支付宝向他人转账。

吴涵峰说,真正发挥作用的,并不是透明胶带,而是胶带上用导电涂层涂抹的图案,图案看上去像是修正液痕迹,但贴上去以后就可以万物解锁了!

导电涂层有很多,最常见的就是导电笔,一支几十元,很容易就能买到。

导电材料,从中起到什么作用?苏州迈瑞微首席技术官李扬渊,解释了指纹锁的原理和它的漏洞。

手机指纹锁解锁判断的原则是:数据库里预存的数据,和你输进去的数据一致性,破解指纹锁,就是利用传感器本身,把“攻击图像”输入数据库。

“攻击图像”,就是抹在胶带上的那坨导电层图案!当它与指纹锁接触时,指纹传感器接收到的信息,其实是导电涂层,而不是手指指纹!

现在的智能手机都有自学习功能,把贴了导电图案的胶带黏在手机上,(需要注意,导电图案不能完全覆盖指纹传感器!)这样在手指解锁中,传感器识别了小部分机主指纹,开机!而胶带上的导电图案,虽然不是指纹,但手机同样会把它输入数据库又形成一个新的导电图案+机主指纹的解锁图像当其他人使用时,只要识别到那个导电图案,同样开机!

那为何机主只需要小部分指纹,而其他人用导电图案当指纹都能开机呢?迈瑞微首席技术官李扬渊说,这就是目前指纹解锁的最大BUG!指纹识别=认识+区别但目前包括苹果在内的指纹算法供应商只做了认识,是不是指纹不做区别。(同样也有考虑用户体验,解锁更快的目的。)利用这个漏洞,甚至不需要指纹,用橘子皮压一下,手机都能解锁。

相对来说,苹果手机会安全一点,苹果手机传感器的算法跟国产安卓手机不一样,在贴了导电层的胶带后,需要重新录入生成新的指纹,才可以让其他人解锁。

但迈瑞微公司认为,目前市面上热卖的指纹贴,将为作案提供更多的隐蔽性和欺骗性。

比如说,你的VIVO、华为、魅族、小米等国产安卓手机上有指纹贴,别人给你换一个做过手脚的指纹贴,你只要自己指纹开锁3次以上,任何人就能通过这个指纹贴开锁。

而如果你的苹果手机也有指纹贴,别人也给你换一个做过手脚的指纹贴,当你发现指纹不灵敏后,很可能会重新录入指纹,这时的指纹其实就是一个万能指纹。

迈瑞微首席技术官李扬渊说,指纹锁的漏洞不仅仅存在手机领域。在安防上,很多指纹门锁只要贴上一层膜,同样可以轻松被开启。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消