实时：突发！安卓/鸿蒙被出现高危漏洞，指纹都能被暴力破解了？

时间：2023-05-27 17:41:25 来源: 扩展迷EXTFANS

5月23日消息，腾讯安全玄武实验室和浙江大学的研究人员提出了一种名为“BrutePrint”的新攻击，该攻击可通过暴力破解安卓智能手机上的指纹，来绕过用户身份验证并控制设备。

暴力攻击依赖于破解代码、密钥或密码并获得对账户、系统或网络的未授权访问的多次反复试验。上述研究人员通过利用两个零日漏洞，即Cancel-After-Match-Fail（CAMF）和Match-After-Lock（MAL），并发现指纹传感器的串行外设接口（SPI）上的生物识别数据没有得到充分保护，允许中间人（MITM）攻击劫持指纹图像，从而破解手机指纹。

▲图源论文《BRUTEPRINT：Expose Smartphone Fingerprint Authentication to Brute-force Attack》，下同

(资料图)

该论文已发表在上，研究人员针对十种常见的智能手机进行了测试，在所有安卓和华为鸿蒙HarmonyOS设备上实现了无限次尝试破解指纹，在iOS设备上实现了十次额外尝试（共可尝试15次）。

论文称，BrutePrint攻击的思路是向目标设备执行无限次的指纹图像提交，直到匹配到用户定义的指纹。攻击者需要对目标设备进行物理访问以发起BrutePrint攻击，访问可以从学术数据集或生物识别数据泄露中获取的指纹数据库，需要一个成本约为15美元（IT之家备注：当前约106元人民币）的设备，如上图所示。

此外，研究人员通过MAL零日漏洞，成功绕过了解锁指纹的次数限制，因此在安卓/鸿蒙手机上可以无限次尝试解锁，并通过“neural style transfer”系统将数据库中的所有指纹图像转换为看起来像是目标设备的传感器扫描图像，因此可以不断靠近正确的指纹。

研究人员使用了10款设备进行破解测试，其中包括6款安卓手机，2款华为鸿蒙手机，2款苹果iPhone。测试显示，所有设备都至少存在一个缺陷，而安卓和鸿蒙设备可以被无限次暴力破解。

实验表明，当用户在手机上注册了一个指纹时，针对易受攻击的设备成功完成BrutePrint所需的时间在到小时之间。当用户在目标设备上注册多个指纹时，暴力破解时间会下降到仅到小时，因为生成匹配图像的可能性呈指数级增长。

温馨提示

关注【扩展迷Extfans】

阅读更多精彩内容

标签：

新闻快讯

X 关闭

精品推荐

X 关闭

实时：突发！安卓/鸿蒙被出现高危漏洞，指纹都能被暴力破解了？

精彩推送

祛痘痕最有效的方法_五个偏方推荐

焦点关注：谚语大全及答案三年级下册_谚语大全及答案

10000扣多少个人所得税_个人所得税应纳税所得额是什么意思-环球速递

手机摔了一下黑屏但是电话还能接（手机摔了一下黑屏但是有声音）|每日快看

环球关注：信濠光电：拟收购信光科技100%股权并对其增资7000万元

民族院校人才培养模式的创新与实践_关于民族院校人才培养模式的创新与实践简述

全球快资讯丨参保人数近260万！“深圳惠民保”平均投保年龄33岁

迷信到底！瓦茨克：周六不管多热，我会继续穿那件带来不败的毛衣

爱回收2023年一季度营收28.7亿元同比增长30.2%

新闻快讯

精品推荐

新闻快讯