这个移动互联网的世界究竟有多不安全?看看你自己的手机就知道了。
近日,一则关于Android系统智能手机指纹识别功能的巨大漏洞被曝光,再次引发了人们对于移动安全的关注。同时,这一事件是否会对国内的手机用户造成影响,也是舆论争论的焦点。
事件缘起于本周在美国洛杉矶召开的黑帽安全技术大会(BlackHat),两名来自中国的程(Hei)序(Ke)员利用Android系统安全漏洞攻破了其指纹识别功能,并顺利窃取到了用户的指纹信息。现场展示的机型包括三星的GalaxyS5和HTCOneMax。
据上述人士表示,在本次攻击中,漏洞源于Android系统的安全构架问题和原始设备制造商创建的远程支持工具的缺陷。用户的指纹数据会直接落入攻击者的手中,“只要受害者还活着,攻击者就能肆意利用其指纹信息做坏事”——移动支付、设备密码、身份、甚至非法移民和犯罪。同时,该漏洞也会涉及到不少高端笔记本电脑的指纹传感系统。
据悉,由于很多设备制造商并未完全“锁定”其指纹支付系统,因此攻击者可以在神不知鬼不觉的情况下从被感染的设备上偷走指纹信息。
好在对此,谷歌和三星官方已做出回应,并表示将修补这一漏洞:
谷歌:“感谢研究人员提出的问题,这鞭策我们进行改善,这个问题Android手机厂商已经解决并提供更新补丁。希望大家使用可靠的应用程序来源,比如说GooglePlay。”
三星:“感谢用户的信任,并使用我们的产品和服务。我们意识并了解到问题,并已经提供了解决方案,希望大家不要安装不可信的应用程序。”
在国内,目前已有多家手机厂商在自家的产品上添加了指纹识别功能,已经发布的包括华为Mate7及荣耀7、中兴AXON天机等。那么,他们是否也会在此次事件中躺枪呢?
中兴技术人士向智东西(公众号:zhidxcom)表示,AXON天机的指纹数据是存储在其内核芯片的TrustZone区域的,这个区域与Android系统及其他硬件环境“完全隔离”。所以,黑客即便攻破Android系统也是无法进入TrustZone获取用户的指纹图像。
而在此前,华为也对其指纹识别功能做出了公开说明并称其是一套基于芯片硬件的安全解决方案:指纹加密、存储、校验的程序是运行在海思芯片里物理隔离的安全OS中,安卓环境下的程序无法直接访问,即使手机被root后,这部分仍然不能被访问和篡改。同时,手机并不会保存指纹图像,只保存经过提取后的模板信息,通过指纹模板并不能还原出指纹图像。
需要指出的是,谷歌在AndroidM系统中才加入了原生的指纹识别功能,当前各大手机厂商所搭载的上述功能多为自行研发或使用第三方技术。而国内目前的指纹识别功能基本来自通用的解决方案,即基于ARM芯片上面的TrustZone区域,控制指纹区域的系统与Android系统相互独立,并只为Android程序提供指纹正确或错误的信息。
目前从官方口径上看,此次漏洞对国内的设备貌似没有太大影响。
当然,各位也不必太过紧张。一方面,这一漏洞的曝光来自黑客大会的演示,谷歌一般会很快修复这类漏洞。而另一方面,目前市面上支持指纹识别功能的Android智能手机还并不多,故其造成的影响也许还不会太大。
但是,已有预测报告指出,到2019年,全球将有一半的智能手机装载指纹传感装置,届时来自个人信息安全方面的威胁将大大增加——相比于传统密码,指纹识别虽然在理论上更安全,但一旦失窃所造成的影响可能更严重。对于前者,你可以通过更换新的更复杂的字母数字组合提高安全性;而对于后者,你总不能为手指去做个整形手术以录入新的指纹吧?
至于怎么预防,则还是老生常谈:去靠谱的渠道下载APP,没事儿别ROOT。
说了半天,一直都在说Android设备,苹果的呢?好消息是,对于iPhone和iPad用户,截止目前,黑客们还未攻破iOS系统的TouchID。