系統(tǒng)的開放與隱患永遠(yuǎn)是相伴相生,近日就有研究把矛頭指向了 Android 系統(tǒng)的指紋識別。確切來說,主要指 Galaxy S5 的安全漏洞。
據(jù)福布斯報(bào)道,安全研究機(jī)構(gòu)FireEye 發(fā)布的報(bào)告稱,黑客很容易利用 Galaxy S5 上的指紋識別功能盜取用戶信息,盡管三星會將用戶的指紋存儲在不同的“信任區(qū)域”(Trusted Zone)內(nèi)。
研究者表示,攻擊者只需創(chuàng)建需要系統(tǒng)級訪問權(quán)限的惡意程序,一旦攻破 Android 內(nèi)核,就可以長驅(qū)直入,無需訪問信任區(qū)域的情況下也能讀取指紋傳感器。盜取信息后,黑客便可逆推生成指紋圖像。
報(bào)告不單單針對 Galaxy S5,包括一些未指明的 Android 手機(jī)都有一樣的漏洞。FireEye 的兩位中國研究者 Tao Wei和 Yulong Zhang 說:“用戶每一次使用指紋識別器,黑客就能獲取用戶信息。生成指紋圖像后,他們就可以為所欲為了!
兩位研究者已經(jīng)將漏洞報(bào)告給三星,他們還為收到任何官方的升級補(bǔ)丁。不過他們補(bǔ)充說,這個(gè)安全隱患并沒有想象中可怕,也不無解藥,Android 5.0 以上的系統(tǒng)就不會有這個(gè)漏洞,因而理論上說,用戶升級系統(tǒng)就可以避免悲劇的發(fā)生。
三星在一封官方郵件聲明中說:“三星非常重視用戶的隱私和數(shù)據(jù)安全,我們正在研究 FireEye 的研究報(bào)告。”
Galaxy S5 早在上市之初就被黑的滿目瘡痍,有人甚至分分鐘破解了它的指紋識別。三星對開發(fā)者開放 Galaxy S5 指紋識別 API,進(jìn)而第三方應(yīng)用也能夠使用手機(jī)上的指紋識別功能,例如支付巨頭 PayPal 允許用戶通過指紋進(jìn)行轉(zhuǎn)賬授權(quán)。
德國安全網(wǎng)站 Heise Security 就通過超高密度掃描儀采集用戶指紋,制造出能夠欺騙系統(tǒng)的“指紋薄膜”。由于三星已對第三方應(yīng)用開放了指紋識別,因此這次破解對 Galaxy S5 可謂是毫無障礙,破解人員可以直接用假指紋在 PayPal 上實(shí)現(xiàn)了轉(zhuǎn)賬。
Android 系統(tǒng)因其開放性,在安全性上一直受到質(zhì)疑。事實(shí)證明,Android 平臺的安全隱患的確不小;ヂ(lián)網(wǎng)安全公司 F-secure 發(fā)布的移動互聯(lián)網(wǎng)安全報(bào)告指出,2012 年有 79%的惡意軟件都寄生于 Andriod 之上,相較之下,iOS 平臺內(nèi)的惡意軟件僅占總量的 0.7%。
iOS 就絕對安全嗎?對于黑客來說,破解 Touch ID 的指紋識別也是毫無壓力,德國知名黑客 Starbug 就曾自己制作了一套指紋,成功騙過了 Touch ID 系統(tǒng)。