研究人员可远程窃取安卓手机上的指纹数据

花刺

FireEye安全研究人员发现了四种新的方式来攻击安卓设备，可以在用户毫无察觉的情况下远程提取用户指纹信息。

安全研究人员目前已经发现了四种新的方式攻击安卓设备，可以在用户毫无察觉的情况下远程提取用户指纹信息。这种攻击称为“指纹传感器监视攻击”。研究人员张玉龙（Yulong Zhang）透露，黑客可以利用这种方法大规模远程获取指纹。

远程攻击安卓指纹

在今年BlackHat黑帽大会上一场名为“移动设备上的指纹：滥用和泄露”的讨论会上，火眼（FireEye）的研究人员魏涛（Tao Wei）和张玉龙（Yulong Zhang）演示了他们的研究成果，并提出了几种新方法攻击安卓设备，提取用户指纹数据。

这种新的攻击方式主要针对带有指纹传感器的安卓设备。相比于输入密码的认证方式，指纹传感器能够使用户通过简单地触摸手机屏幕，就能够进行身份验证。

目前研究人员已经在HTC One Max和三星Galaxy S5上验证了这种攻击方式，通过这种方法，他们能够秘密地从设备上获取指纹图像，这是因为供应商未能很好地锁定指纹传感器。

这种攻击方法影响知名手机设备，包括三星、HTC和华为。

指纹与密码

换个角度想一下，指纹被盗往往会比密码被盗的情况更糟糕，因为当密码泄露时你可以修改密码，但却不能更换你的指纹。张玉龙说道：

“在这种类型的攻击中，受害者的指纹数据会直接落入攻击者的手中。在受害者以后的生活中，攻击者可以一直使用他们的指纹数据，并能够利用指纹做其他恶意的事情。”
不过好消息是，通过为安卓设备上的指纹数据进行加密，这个问题就能够很容易地得到解决。此外，在研究人员向有关手机厂商发布了安全报告之后，这些受影响的供应商就发布了安全补丁。然而，研究人员并没有共享任何的POC详细信息，也未说明如何远程执行指纹窃取攻击。不过需要注意的是，谷歌并没有在安卓操作系统上正式支持指纹功能，但它很快就会在安卓M更新上支持指纹传感器。

苹果设备安全

苹果用户暂时不用担心这种攻击，因为目前来看iPhone和iPad的touch ID还是“相当安全的”，因为它使用一个加密密钥对指纹扫描仪的数据进行了加密，使得即使黑客获得了访问权限也无法读取到指纹数据。