據富比士報導,安全研究機構 FireEye 發布的報告稱,駭客很容易利用 Galaxy S5 上的指紋辨識功能盜取用戶訊息,儘管三星會將用戶的指紋儲存在不同的「信任區域」(Trusted Zone)內。
研究者表示,攻擊者只需創建需要系統級訪問權限的惡意程式,一旦攻破 Android 核心,就可以長驅直入,無需進入信任區域的情況下也能讀取指紋感應器。盜取訊息後,駭客便可逆推生成指紋圖像。
報 告不單單針對 Galaxy S5,包括一些未指明的 Android 手機都有一樣的漏洞。FireEye 的兩位中國研究者 Tao Wei 和 Yulong Zhang 說:「用戶每一次使用指指紋辨識,駭客就能獲取用戶訊息。生成指紋圖像後,他們就可以為所欲為了。」
兩位研究者已經將漏洞報告給三星,他們還為收到任何官方的升級更新。不過他們補充說,這個安全隱患並沒有想像中可怕,也不無解藥,Android 5.0 以上的系統就不會有這個漏洞,因而理論上說,用戶升級系統就可以避免悲劇的發生。
三星在一封官方郵件聲明中說:「三星非常重視用戶的隱私和數據安全,我們正在研究 FireEye 的研究報告。」
Galaxy S5 早在上市之初就被黑的滿目瘡痍,有人甚至幾分鐘破解了它的指紋辨識。三星對開發者開放 Galaxy S5 指紋識別 API ,進而第三方應用軟體也能夠使用手機上的指紋辨識功能,例如支付巨頭 PayPal 允許用戶透過指紋進行轉帳授權。
德 國安全網站 Heise Security 就透過超高密度掃瞄儀採集用戶指紋,製造出能夠欺騙系統的 「指紋薄膜」。由於三星已對第三方應用軟體開放了指紋辨識,因此這次破解對 Galaxy S5 可謂是毫無障礙,破解人員可以直接用假指紋在 PayPal 上轉帳。
Android 系統因其開放性,在安全性上一直受到質疑。事實證明,Android 平台的安全隱患的確不小。網路安全公司 F-secure 發布的行動網路安全報告指出,2012 年有 79% 的惡意軟體都寄生於 Andriod 之上,相較之下,iOS 平台內的惡意軟體僅佔總量的 0.7%。
iOS 就絕對安全嗎?對於駭客來說,破解 Touch ID 的指紋識別也是毫無壓力,德國知名駭客 Starbug 就曾自己製作了一套指紋,成功騙過了 Touch ID 系統。
轉載 http://technews.tw/2015/04/24/android-fingerprint/
沒有留言:
張貼留言