【ITBEAR科技資訊】5月23日消息,近日,騰訊安全玄武實(shí)驗(yàn)室與浙江大學(xué)的研究人員聯(lián)合發(fā)現(xiàn)了一項(xiàng)對安卓和鴻蒙系統(tǒng)造成高度威脅的漏洞。
根據(jù)他們的研究,該漏洞可以繞過手機(jī)指紋識別的次數(shù)限制,從而允許攻擊者進(jìn)行無限次數(shù)的指紋圖像提交,采用暴力窮舉的方式來破解指紋識別系統(tǒng)。
研究人員在相關(guān)論文中揭示了這一漏洞的技術(shù)細(xì)節(jié)。他們通過發(fā)現(xiàn)了Cancel-After-Match-Fail(CAMF)和Match-After-Lock(MAL)這兩個零日漏洞,以及指紋傳感器的串行外設(shè)接口存在保護(hù)不足的問題,從而成功地破解了手機(jī)指紋識別系統(tǒng)。
據(jù)ITBEAR科技資訊了解,研究人員利用了10款不同設(shè)備進(jìn)行了破解測試,其中包括6款安卓手機(jī)、2款華為鴻蒙手機(jī)以及2款iPhone。
測試結(jié)果顯示,所有測試設(shè)備在指紋識別的安全性方面都存在缺陷,但唯獨(dú)iOS系統(tǒng)不會受到無限次暴力破解的影響。
值得注意的是,根據(jù)實(shí)驗(yàn)數(shù)據(jù)分析,當(dāng)用戶在一臺設(shè)備上錄入多個指紋時,暴力破解所需的時間明顯減少,這與多個指紋生成匹配圖像的概率增加有關(guān)。
因此,除非必要,我們建議在手機(jī)上盡量避免錄入多個指紋信息,以提高指紋識別的安全性。
對于這一漏洞的發(fā)現(xiàn),騰訊安全玄武實(shí)驗(yàn)室和浙江大學(xué)的研究人員已經(jīng)向相關(guān)系統(tǒng)廠商和開發(fā)者提供了詳細(xì)的技術(shù)報告,并與他們合作修復(fù)這一漏洞,以確保用戶的個人信息和設(shè)備安全。
盡管漏洞修復(fù)的進(jìn)展尚未被公布,但我們期待相關(guān)廠商能夠迅速采取行動,及時發(fā)布補(bǔ)丁程序,以保護(hù)用戶免受潛在的安全風(fēng)險。
