近日,苏州迈瑞微电子有限公司向国家工信部、公安部、中国人民银行、网信办举报了手机指纹解锁存在的惊天漏洞!
好奇实验室用透明胶带+导电笔秒破安卓和苹果的指纹识别,甚至用于支付!任何人的指纹都可以解开你的手机!更甚者,一块橘子皮都行!
迈瑞微公司的工程师吴涵峰,给好奇实验室的大史演示了这种解锁漏洞,这是吴涵峰自己的安卓手机,里面只有他自己的指纹,正常情况下,大史无法解锁。吴涵峰往手机指纹按键上贴了一层透明胶带,
自己开启了几次手机,交给大史,大史用自己的手指,顺利解锁、开启了手机。
不仅是拇指,任何一根指头都能开!给别的工作人员,人人都能开!
然而检查手机设置,系统里确实只有吴涵峰自己录入的一个指纹。
好奇实验室又测试了其他四款手机,结果也是一样,连一向以安全著称的苹果,同样不能幸免。
破解指纹后,任何一个人还可以通过微信或者支付宝向他人转账。
吴涵峰说,真正发挥作用的,并不是透明胶带,而是胶带上用导电涂层涂抹的图案,图案看上去像是修正液痕迹,但贴上去以后就可以万物解锁了!
导电涂层有很多,最常见的就是导电笔,一支几十元,很容易就能买到。
导电材料,从中起到什么作用?苏州迈瑞微首席技术官李扬渊,解释了指纹锁的原理和它的漏洞。
手机指纹锁解锁判断的原则是:数据库里预存的数据,和你输进去的数据一致性,破解指纹锁,就是利用传感器本身,把“攻击图像”输入数据库。
“攻击图像”,就是抹在胶带上的那坨导电层图案!当它与指纹锁接触时,指纹传感器接收到的信息,其实是导电涂层,而不是手指指纹!
现在的智能手机都有自学习功能,把贴了导电图案的胶带黏在手机上,(需要注意,导电图案不能完全覆盖指纹传感器!)这样在手指解锁中,传感器识别了小部分机主指纹,开机!而胶带上的导电图案,虽然不是指纹,但手机同样会把它输入数据库又形成一个新的导电图案+机主指纹的解锁图像当其他人使用时,只要识别到那个导电图案,同样开机!
那为何机主只需要小部分指纹,而其他人用导电图案当指纹都能开机呢?迈瑞微首席技术官李扬渊说,这就是目前指纹解锁的最大BUG!指纹识别=认识+区别但目前包括苹果在内的指纹算法供应商只做了认识,是不是指纹不做区别。(同样也有考虑用户体验,解锁更快的目的。)利用这个漏洞,甚至不需要指纹,用橘子皮压一下,手机都能解锁。
相对来说,苹果手机会安全一点,苹果手机传感器的算法跟国产安卓手机不一样,在贴了导电层的胶带后,需要重新录入生成新的指纹,才可以让其他人解锁。
但迈瑞微公司认为,目前市面上热卖的指纹贴,将为作案提供更多的隐蔽性和欺骗性。
比如说,你的VIVO、华为、魅族、小米等国产安卓手机上有指纹贴,别人给你换一个做过手脚的指纹贴,你只要自己指纹开锁3次以上,任何人就能通过这个指纹贴开锁。
而如果你的苹果手机也有指纹贴,别人也给你换一个做过手脚的指纹贴,当你发现指纹不灵敏后,很可能会重新录入指纹,这时的指纹其实就是一个万能指纹。
迈瑞微首席技术官李扬渊说,指纹锁的漏洞不仅仅存在手机领域。在安防上,很多指纹门锁只要贴上一层膜,同样可以轻松被开启。
展开全文
- 包头新闻网 | 2019/3/21 16:54:26
- 北京青年报 | 2018/1/29 10:17:23
- 河南商报 | 2018/1/15 9:16:17
- 中关村在线 | 2017/4/18 10:04:09
- 极客视界 | 2016/11/8 9:11:01
- 新浪手机 | 2016/3/9 9:13:39
- 扬子晚报 | 2020/9/22 18:10:27
- 中国法院网 | 2018/6/6 9:18:37
- 股城网 | 2018/5/23 9:47:07
- 支付圈 | 2017/12/27 9:07:52
- 瞭望东方周刊 | 2017/12/19 9:21:31
- E安全 | 2017/10/17 9:19:54
- 腾讯体育 | 2017/10/16 10:32:25
- 移动支付网 | 2017/5/27 10:26:58
- 移动支付网 | 2017/5/12 8:50:02