三星Galaxy S5最新漏洞:黑客可竊取用戶指紋數據
責編:admin |2015-04-30 10:13:58火眼(FireEye)安全研究人員在三星Galaxy S5中發現了一個新漏洞。盡管Galaxy手機對指紋進行了加密,但黑客仍然可以克隆手機中的用戶指紋數據,進而還原指紋圖像,冒充受害者身份。
指紋識別原理
三星智能手機獲得用戶的指紋信息進行身份驗證后,利用ARM的TrustZone技術將以后掃描的指紋信息同保存的指紋進行對比驗證。
當用戶對準設備按壓輸入指紋時,TrustZone代碼將訪問傳感器并檢查掃描到的指紋,然后將比對結果返回給操作系統。需要注意的是,TrustZone代碼是從傳感器中讀取數據的唯一方式。
攻擊過程
然而,攻擊者可以竊取指紋信息,克隆并使用這些指紋信息冒充受害者來破解其他使用相同指紋信息的認證服務。研究人員強調,任何能夠以root身份運行程序的黑客都可以從移動設備中竊取指紋信息。這在三星Galaxy S5中更加容易,惡意軟件需要的僅僅是系統級訪問權限。
研究人員解釋說:
“如果攻擊者可以打破安卓的內核防護機制,雖然他不能訪問存儲在信任區中的指紋數據,但卻可以隨時直接讀取指紋傳感器。每次用戶觸摸指紋傳感器時,攻擊者就可以竊取他們的指紋。攻擊者可以獲取這些數據,利用這些數據可以生成指紋圖像,然后有了指紋圖像,攻擊者就可以做任何想做的事。”
在今年的RSA大會上,研究者們展示了他們的研究成果,可以在這里找到幻燈片。
安卓系統5.0及更高版本已經修復了此漏洞,安全專家們強烈建議用戶盡快升級系統到安卓最新版本。
文章來源: