安卓手機陷保安危機 百元電路板可攻破指紋解鎖

Billy | Apple

目前指紋解鎖是不少 Android 手機的基本資安保障功能,近日來自騰訊和浙江大學的研究人員發表報告,發現 Android 手機的指紋認證框架存在兩項安全漏洞,讓幾乎所有 Android 手機都陷入稱為 「BrutePrint」 的保安危機。

0525-3a.jpg



破解成本極低

「BrutePrint」是指一種新的攻擊行為,透過暴力破解 Android 智慧手機上的指紋,來繞過用戶身份驗證並控制裝置。根據兩名研究員的報告,BrutePrint 需要一塊價值約 15 美元(約 NT$450),帶有微控制器的電路板,並取得受害者的手機至少 45 分鐘和指紋數據庫,有了上述的條件,研究員在 8 款測試的 Android 手機,包括小米 11 Ultra、Vivo X60 Pro、OnePlus 5T、OnePlus 7 Pro、OPPO Reno Ace、Samsung Galaxy S10+、華為 Mate30 Pro 5G 和華為 P40 都能夠成功破解,而兩款 iPhone 7 和 iPhone SE 則不受影響。
 


Android 未加密數據出事

研究員解釋道 BrutePrint 避開了指紋辨識的嘗試次數限制,由於認證過程並不需要輸入數值與數據庫數值完美匹配,而是透過使用參考數值去進行判定,不法之徒於是就可以無限次輸入不同指紋資料,直到遇上與數據庫儲存的吻合。上述破解需要拆開機背,再利用電路板連接手機,一旦成功解鎖就可以用作認證支付。研究員解釋指 iOS 會將數據加密,故此 BrutePrint 方式未能在 iPhone 發揮效果;但 Android 則沒有加密數據,令不法之徒有機可乘。

資料來源:phonearena