手机指纹传感器:是否真的那么安全?

在目前市面上,几乎所有主流智能手机都装上了时下颇为流行的指纹扫描器。各大手机厂商无不宣称其生物传感器能改进用户体验和移动设备的安全。但这到底是真的吗?

在目前市面上,几乎所有主流智能手机都装上了时下颇为流行的指纹扫描器。各大手机厂商无不宣称其生物传感器能改进用户体验和移动设备的安全。但这到底是真的吗?

答案并不尽然。首先,这些传感器并非毫无缺陷可言。老式的电容式传感器几乎无法识别出湿手的指纹,且通常第一次尝试总是无法成功。因此如果夏天你手容易出汗或在锻炼时,指纹传感器往往都难以正确识别。如果你手指上有划痕、伤疤和其它皮肤缺陷的话,也会降低识别的准确率。此外,许多传感器无法有效分辨真手指和假手指—这是安全方面的一个重大漏洞。

随着高通公司发布超声指纹识别传感器(利用超声波扫描手指的三维图像),上述问题都将得到有效解决。如此用假手指也无法再骗过指纹传感器。此外,使用全新超声指纹识别传感器的话,即使手指有脏污或潮湿也能识别成功。但仍然存在其它的威胁。

安全研究专家们发现在HTC One Max和Samsung Galaxy S5两款智能手机的指纹图像保存在未加密的readable-by-any-app .bmp文件内—且保存格式只是常规的bmp图片格式。任何有权访问用户图片和互联网的软件都能轻松窃取这些指纹图像。开发人员在发现这一漏洞后很快发布了针对性的安全补丁,但试问谁能保证下次推出新手机或发布更新系统时就不会犯同样的错误?

此外,许多智能手机对指纹传感器的安全保护相当薄弱,使得一些恶意软件能轻松从指纹传感器内窃取指纹图片。但有趣的是,苹果智能手机在这方面却相当安全,原因在于对来自传感器的指纹数据进行了加密。

有些手机厂商(例如:华为)则采用ARM TrustZone技术保护手机内存储的指纹数据。华为手机将指纹图像保存在一个专门的虚拟”世界”中,主操作系统则无法访问。因此,关键数据(例如:指纹)无法泄露并被第三方应用所利用。但不幸的是,根据实施模型,该技术同样也存在缺陷

如果有人告诉你指纹不是密码,任何人无法与他人共享,你完全可以将上述解释给他看—但
千万别当真。新年才没过几天,研究专家们就向我们展示了如何轻松窃取指纹—远程操作,甚至无需当面接触。只要能得到受害人指纹的高分辨率照片。单反相机加上不错的变焦镜头,或者杂志上的高清晰度照片就行。并且这样的方法也能被用来伪造虹膜

如果密码泄露的话,你可以很快更改密码,但人的指纹却永远无法更改。万一指纹被盗呢?因此对于目前各大主流手机厂商的宣传广告,你可不能完全相信。如果你的智能手机内置有指纹传感器的话,我们建议您遵循以下几条简单的安全规则。

1. 尽管有手机厂商的承诺,但千万不要用指纹扫描器来授权PayPal和其它资金交易服务。因为这很不安全。万一手机被盗,你的资金账户将承受极大风险。窃贼完全可以轻松复制手机外壳上的指纹,然后用你的指纹权限给自己网购。窃取密码的难度则要高很多—除非你能利用得当

2. 通常人们会使用食指或大拇指作为生物测定登入凭证。尽管这很方便,但却并不合适,因为人们操作手机时用得最多的就是食指和大拇指。在手机外壳上能很容易找到完整的食指和大拇指印痕,因此只需伪造指纹就能轻松攻破安全防线—互联网上就有许多这样的操作手册。因此,右撇子最好用左手的小拇指和无名指的指纹,左撇子则反过来做。

3. 由于指纹扫描器不足以保护你的个人数据,因此为了个人隐私的安全着想,应该考虑使用一款特殊应用程序。例如,卡巴斯基安全软件安卓版就内置有防盗和私人联系功能。使用该安全软件能追踪被盗手机,远程清除所有存储数据或隐藏所有短信内容和联系人列表。

总的来说,指纹扫描器确实是一项伟大的发明,且利大于弊。但千万不要过度依赖—聪明地使用新技术的同时,也不要忽视密码、双因素认证和其它安全保护措施。

Asacub木马演变过程:从”小虾米”到”终极杀器”

卡巴斯基实验室近期发现了一种被称为”Asacub”的银行木马,从1月份开始就不断攻击安卓用户。我们的专家们设法步进式追踪其历史演变过程。银行木马作为恶意软件的一种,主要安装在移动设备内,通过利用一些专门技术来窃取用户信用卡内的资金。Asacub最近几个版本则是通过网络钓鱼页面引诱用户提交信用卡认证信息。

提示