您当前的位置：&>&&>&
指纹识别真的安全吗?看完这篇文章你就知道了
&本文引用地址:
两年前，iPhone
5s开启了智能手机的指纹时代。随后，一大波Android指纹识别手机相继涌现。并且在这两年间，随着产业链厂商的推波助澜，指纹识别技术的门槛在逐渐走低，其终端价格也在迅速下探。原来这一高大上的技术仅仅是应用于高端旗舰机上，而现在千元机同样也能拥有该功能。
不过，当指纹手机走入寻常百姓家的时候，一个不可忽视的问题也随即而来了：你的指纹手机安全吗?
近日，在世界黑帽大会(BlackHat)上，来自中国的两位黑客魏涛、张玉龙发现了Android指纹识别框架下存在重大漏洞，通过这个漏洞他们可以轻松绕过指纹识别器，进而可以解锁手机屏幕、安装应用，甚至是转账支付等。另外，他们还能够直接拷贝用户的指纹信息，这将严重威胁到了用户的个人信息及隐私安全。据悉，此次他们攻破的是HTC
One Max、三星Galaxy
S5两款机型。不过，由于该漏洞出现在Android系统层级，也就是说，任何配备指纹解锁的Android手机都将受到威胁。
那么，一向以安全著称的指纹识别技术，为何会频频遭到破解?而要回答这个问题，还需要从指纹识别技术的原理说起。
目前市面上主流的应用于智能手机的指纹识别技术大概有两种：按压式和滑动式。它们基本上都是基于电容传感识别原理：由手指构成电容的一极，而传感器构成另一极，通过人体的微电场与电容传感器间形成微电流，指纹的波峰和波谷形成电容高低差，进而描绘出指纹图像。然后，用这一图像与数据库的指纹样本互相匹配，便完成了一次指纹识别过程。
Android手机厂商在保护指纹方面都是采用芯片级的安全解决方案TrustZone，包括魅族的MX4 Pro、华为的Mate
7等都采用了该方案。它是ARM提供的一种可保护敏感信息的硬件安全架构体系，用于把手机从硬件与软件上分成安全区与普通区两个区域。安全区属于硬件加密级别，因此第三方程序无法访问其中的敏感数据。通过这种硬件+软件的双重机构完成对指纹识别技术的安全管控。
但事实上，这种双区加密的方式也存在着一定的漏洞。
在整个识别过程中，指纹图像的匹配过程需要借由软件实现，而就为黑客们提供了破解的入口。一但该方案出现软件漏洞时，黑客便能够在可信区域执行任意代码，将TrustZone完全攻破。去年8月，有消息爆出高通骁龙系列处理都存在TrustZone漏洞。这些漏洞可以被黑客利用来攻破系统级的保护机制，并获得用户隐私资料，甚至包括完成支付等高权限动作。
TrustZone被视为Anroid指纹手机安全的最后一道防线，然而一旦被攻破，指纹识别也就形同虚设。不过，目前黑客们都是利用软件方面的漏洞进行破解，而当这些漏洞被发现后，谷歌便会马上进行封堵。
那么，果粉们肯定会问了，苹果的Touch ID安全性又怎么样?
在这次的世界黑帽大会上，黑客们并没有攻下苹果的Touch ID，他们不仅没有绕过Touch
ID，也不能盗走用户的指纹信息，这其实也体现了iOS作为封闭系统在安全方面的优势。
但这并不能说Touch ID就绝对的安全。其实，iPhone 5s发布后仅一天，欧洲最大的骇客团体ChaosComputerClub就宣布破解了Touch
ID。不过，针对于Touch ID的破解更多是利用指纹膜这样的方式，真正通过硬件和软件手段的破解还很少。
在指纹安全方面，苹果是采用了独立设计的Secure Enclave模块，该模块同样是基于ARM
的TrustZone技术，相当于苹果定制了一个高度优化的TrustZone模块。据苹果安全手册描述，Secure
Enclave是苹果定制的一个单芯片级的协处理器，在处理安全信息时它会启动序列码和软件更新机制，专门负责对数据保护和加密操作。并且只有Secure
Enclave能够访问用户指纹信息，苹果公司也无法获知，也不会传到iCould上面。苹果将用户的指纹信息存储于本地，并没有上传到云端，这大大降低了被盗取的可能性。
前Google安全大师、安全领域专家Shuman
Ghosemajumder表示过，指纹扫描必须只基于硬件，扫描的过程不能通过软件激活，或是将指纹信息传送给软件。如果该装置能够被软件激活，那么就无法避免被恶意代码攻击的风险。可以看到的是，不管苹果Touch
ID如何加强硬件的保护机制，但其指纹识别的过程仍需软件的协同，而这也让它存在着一定的安全风险。
但不管怎么说，指纹识别仍然是目前能够广泛商用，且安全性较高的一种加密方式。并且随着技术的演进，一些新型指纹识别技术开始出现，比如高通已经推出了一项黑科技&&超声波指纹识别技术(超声波Sense
ID)。与电容式识别原理不同，它采取超声波的扫描方式，因此它不需要电容传感器或者按钮，可以隐藏于多种材质表面之下。基于这种技术，手机厂商可推出不需要Home键的智能手机。
另外，除了指纹识别技术外，虹膜识别(眼球识别)技术也在日益成熟，并且vivo在其最新旗舰X5
Pro上已经运用了该技术。它是通过扫描用户独的眼球静脉图案，来辨别不同生物活体，具有更高的安全性和不可复制性。该技术同样可以应用于支付类、信息类的加密。
&道高一尺，魔高一丈&，对于黑客们来说，破解之路永远没有尽头。但对于普通用户来说，除了加强自身的安全意识外，更多的是要享受新技术带来的便利和体验。
相 关 推 荐
想象一下如果你可以在新年收到想要的任何一种工具、不用考虑价格──但仅限于对追求工程技术精进有帮助的──你会想要……
。在成长的路上，遇到了数个贵人，有过很多次的当头棒喝，也有过很多的徘徊、很多的无奈和很多的感悟。很早就有写点文……
虽然有些半导体公司会把自己的datasheet翻译为中文，但大部分估计都是谷歌给翻的，里面错误很多，有些就只把大标题翻译……
相对同时刚出校门同学从事其它行业而言，电子行业优厚的薪水，以及不断学习更新的专业知识不仅仅让你感到生活的充实，……
上大学的时候不愿总是跟父母要钱，经常出去做兼职。因为个人的一些特长，签了个小婚庆公司做司仪。……
在现实的情况中很明显我们无法去忽略这种状况，因为这样的同学的数量真的很多，所以我决定写下这个章节来试着总结一下……
一 周 点 击
图 酷 信 息
去年8月份脱离了索尼公司的VAIO电脑品牌正式回归中国，并在今年1月24日在京东首发了搭载英特尔第八代酷睿处理器的S11、S13轻薄本。值得注意的是，这两款本在保留原有经典元素重新设计的基础上，减轻了……
项 目 外 包指纹识别当真安全吗？指纹贴上做手脚 可破解手机指纹锁
为无心和小丁猫狂打电话
杨幂赵又廷一吻定情
一个歇斯底里的女艺术家
人间和至味好像更配呢
有颜又有料 百看不腻
Diss一切玛丽杰克苏
离离离 谁离婚谁傻子
医者仁心 神圣而光荣
合纵与连横 大秦之崛起
谁见过这么美得大白鹅
高颜值的谍战剧
一半是国党一半是共党
谁是刺客谁有数
不一样的特工组合
在阴阳交替追寻音乐梦想
古代名将之间的热血厮杀
霓虹AI女郎高科技撩汉
钢铁侠为小蜘蛛打call
豪门艳妻背德偷情
小人物堕入惊天阴谋
金球奖最佳动画电影
关于希望最强有力的注释
吸血鬼狼人血族大混战
表情包大作战
牺牲洛杉矶拯救大地球
未竟功夫梦，难解少年心
得此孤岛，守此佳人
蝙蝠侠与罪恶小丑生死决战
责任编辑：孙利利 UV021指纹识别并不安全 指纹数据可以被窃取_网易手机
指纹识别并不安全 指纹数据可以被窃取
用微信扫码二维码
分享至好友和朋友圈
在今年6月的MOSEC移动安全技术峰会上，手机安全研究员介绍了如何利用安卓手机厂商在实现芯片级安全解决方案TrustZone时造成的软件漏洞，在可信区域执行任意代码，将TrustZone完全攻破。
自iPhone5s于手机中加入指纹识别功能后，指纹识别迅速在安卓机群中流行，俨然已成为旗舰机标配。随之而来的还有各大手机厂商的吹捧，指纹识别能完美解决安全问题云云。 可惜指纹技术并不能拯救手机安全。物极必反，被厂家与用户过度神化的指纹识别功能也不是尽善尽美：iPhone5s发布后仅一天，欧洲最大的骇客团体ChaosComputerClub 就宣布破解了TouchID ，并用视频记录了操作过程。而在今年6月的MOSEC安全技术峰会上，手机安全研究员介绍了如何利用安卓手机厂商在实现芯片级安全解决方案TrustZone时造成的软件漏洞，在可信区域执行任意代码，将TrustZone完全攻破。而TrustZone正是目前很多带指纹识别的安卓手机确保安全的一个核心技术，一旦被完全攻破，获取指纹识别数据将变得很容易。安全员在MOSEC移动安全技术峰会的演示过程中表示，攻破搭载指纹识别系统的手机，最困难的是利用TrustZone中的漏洞，因为这是一个完全的黑盒，缺乏文档和必要的调试手段。据介绍，该次破解是利用内核上的“任意地址写固定值”漏洞，在获取内核代码执行权限后向TEE(可信运行环境)发起进一步攻击，最终绕过TrustZone的防护系统，可获取诸多敏感数据。说了这么多，TrustZone到底是什么?TrustZone是为保护敏感信息的一种硬件安全架构体系，把手机从硬件与软件上分成安全与普通两个区域。严格意义上讲，指纹识别只是安全区中的一小部分。在TrustZone的硬件架构中，整个系统都是为了保护安全区中的数据，防范设备可能遭受到的多种特定威胁。因此，安全区与普通区从硬件到软件都是被分割的，普通区第三方程序无法访问安全区中的敏感数据。体现于手机上的就是，TrustZone会把智能手机的使用模式分为两种，其一是普通使用，其二是安全使用(涉及敏感数据)。例如机主在日常游戏、打字时，手机停留在普通模式;而当机主需要支付、输入密码或者指纹时，手机就会自动切换到安全模式，保护数据不被其它程序访问。可惜，看起来很安全的TrustZone并不值得Trust。在2014年8月，几乎所有高通骁龙处理器都被爆出存在TrustZone高危漏洞。黑客可以依靠该漏洞攻破系统的保护机制，并获得用户隐私资料。支付保护技术、数字版权管理、BYOD(自带设备办公)等等都会成为攻击目标，甚至有可能彻底破坏系统的安全机制。也就是说，攻击者不仅能获得安全区中的敏感数据，还能直接进入支付等高权限场景，TrustZone的分区保护形同虚设。攻击TrustZone需要获得内核权限，在以往的一些议题中通常以执行内核代码为前提研究TrustZone的。而实际上往往需要组合2~3个0day漏洞才能完成一次真实有效的TrustZone攻击。在今年6月举行的MOSEC移动安全技术峰会上，安全研究员证明了若组合利用TrustZone相关软件的两个漏洞，任意Android软件应用，都能够进入安全区获取敏感信息。并且申迪先是完成了手机常规OS的内核提权、以及禁用最新版本SEforA尔后又利用该漏洞侵入安全区，成功绕过诸多安全特性，获取到指纹等敏感信息。面对安全隐患，TrustZone又该何去何从?
随着手机携带的功能越来越多，手机中私密信息的数量与重要程度也与日俱增。相应的，手机中的数据安全越来越得到重视，因为手机被破解，往往就意味着重要资料丢失、个人信息泄露、支付程序面临巨额损失……但从当前情况来看，手机对数据的保护，仍不能让大众放下心中的顾虑。曾经，指纹识别搭配TrustZone，一度被称作手机安全的最后一道防线。而如今，残酷的告诉我们，这最后一条防线也开始变得并不稳固。8月份即将在拉斯维加斯举行的世界黑帽大会BlackHat上，安全员将作为演讲嘉宾向全球黑客介绍有关Android系统TrustZone安全攻防的研究成果，并且现场演示从传感器中读取指纹数据的攻击利用。
本文来源：驱动之家MyDrivers
责任编辑：王晓易_NE0011
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈手机流行的指纹识别真的很安全？事实并非如此
稿源：科客网
小编点评：指纹识别当前来说应该是最容易普及的一项解锁技术，不过每一种的解锁方式都会有自身的缺点，所以还是多用几个为妙。
北京时间2月25日消息，据科技网站TechRadar报道，在今年的世界移动通讯大会（MWC）上，一家生产指纹识别器的中国公司再次让我们对现有的指纹识别传感器产生了怀疑，它们展示了如何用假指纹（黏土制作）骗过智能手机上的传感器。在展台上，Vkansee现场表演了如何用雕塑粘土伪造假指纹，随后它们还用制作好的假指纹骗过了一台手机上搭载的低分辨率指纹传感器。
据在场的BBC记者报道，这块伪造指纹看起来很劣质，但依然成功解锁了手机。
作为一家指纹识别器生产商，Vkansee费劲去做破解可不是为了转型做安全公司，此举主要还是为了宣传自家的高分辨率指纹识别扫描仪。这台新款扫描仪分辨率达到了2000 dpi，是现有机器的四倍。在这种精度级别上，扫描仪能够记录指纹上最细微的特征，所以想要靠假指纹骗过它，几乎是不可能完成的任务。
其实大家也不用过于担心，毕竟在这个实验中，想要制作出欺骗性的假指纹，BBC记者的手指可是要放在粘土中5分钟以上才行。
尽管如此，我们依然要未雨绸缪，毕竟该实验已经暴露出了指纹识别认证的局限性。当涉及到非常关键的商业机密时，还需要更加严密的保护措施。
Vkansee公司主席表示，随着移动支付的普及，居心叵测的人已经开始瞄准用户的手机，如果我们不多长个心眼，恐怕未来受害者会越来越多。
有好的文章希望站长之家帮助分享推广，猛戳这里
本网页浏览已超过3分钟，点击关闭或灰色背景，即可回到网页