Android 的指纹识别,比你想象中还要不安全?

简介:


<a href=https://yqfile.alicdn.com/e156dbe9072f5217624c6d9a712f4bd080670797.png" >

系统的开放与隐患永远是相伴相生,近日就有研究把矛头指向了 Android 系统的指纹识别。确切来说,主要指 Galaxy S5 的安全漏洞。

据福布斯报道,安全研究机构 FireEye 发布的报告称,黑客很容易利用 Galaxy S5 上的指纹识别功能盗取用户信息,尽管三星会将用户的指纹存储在不同的“信任区域”(Trusted Zone)内。

研究者表示,攻击者只需创建需要系统级访问权限的恶意程序,一旦攻破 Android 内核,就可以长驱直入,无需访问信任区域的情况下也能读取指纹传感器。盗取信息后,黑客便可逆推生成指纹图像。

报告不单单针对 Galaxy S5,包括一些未指明的 Android 手机都有一样的漏洞。FireEye 的两位中国研究者 Tao Wei 和 Yulong Zhang 说:“用户每一次使用指纹识别器,黑客就能获取用户信息。生成指纹图像后,他们就可以为所欲为了。”

两位研究者已经将漏洞报告给三星,他们还为收到任何官方的升级补丁。不过他们补充说,这个安全隐患并没有想象中可怕,也不无解药,Android 5.0 以上的系统就不会有这个漏洞,因而理论上说,用户升级系统就可以避免悲剧的发生。

三星在一封官方邮件声明中说:“三星非常重视用户的隐私和数据安全,我们正在研究 FireEye 的研究报告。”

Galaxy S5 早在上市之初就被黑的满目疮痍,有人甚至分分钟破解了它的指纹识别。三星对开发者开放 Galaxy S5 指纹识别 API ,进而第三方应用也能够使用手机上的指纹识别功能,例如支付巨头 PayPal 允许用户通过指纹进行转账授权。

德国安全网站 Heise Security 就通过超高密度扫描仪采集用户指纹,制造出能够欺骗系统的 “指纹薄膜”。由于三星已对第三方应用开放了指纹识别,因此这次破解对 Galaxy S5 可谓是毫无障碍,破解人员可以直接用假指纹在 PayPal 上实现了转账。

Android 系统因其开放性,在安全性上一直受到质疑。事实证明,Android 平台的安全隐患的确不小。互联网安全公司 F-secure 发布的移动互联网安全报告指出,2012 年有 79% 的恶意软件都寄生于 Andriod 之上,相较之下,iOS 平台内的恶意软件仅占总量的 0.7%。

iOS 就绝对安全吗?对于黑客来说,破解 Touch ID 的指纹识别也是毫无压力,德国知名黑客 Starbug 就曾自己制作了一套指纹,成功骗过了 Touch ID 系统。
文章转载自 开源中国社区 [http://www.oschina.net]

相关文章
|
7月前
|
安全 Linux Android开发
Android 安全功能
Android 安全功能
82 0
|
7月前
|
安全 Linux Android开发
Android安全启动学习(一):AVB校验是什么?
Android安全启动学习(一):AVB校验是什么?
424 0
|
7月前
|
存储 安全 Linux
Android安全启动学习(四):device-mapper-verity (dm-verity)和哈希树
Android安全启动学习(四):device-mapper-verity (dm-verity)和哈希树
336 0
|
2月前
|
安全 网络安全 Android开发
深度解析:利用Universal Links与Android App Links实现无缝网页至应用跳转的安全考量
【10月更文挑战第2天】在移动互联网时代,用户经常需要从网页无缝跳转到移动应用中。这种跳转不仅需要提供流畅的用户体验,还要确保安全性。本文将深入探讨如何利用Universal Links(仅限于iOS)和Android App Links技术实现这一目标,并分析其安全性。
252 0
|
5月前
|
存储 安全 数据安全/隐私保护
🔎Android安全攻防实战!守护你的应用数据安全,让用户放心使用!🛡️
【7月更文挑战第28天】在移动应用盛行的时代,确保Android应用安全性至关重要。本文以问答形式探讨了主要安全威胁(如逆向工程、数据窃取)及其对策。建议使用代码混淆、签名验证、数据加密等技术来增强应用保护。此外,还推荐了加密API、HTTPS通信、代码审计等措施来进一步加强安全性。综上所述,全面的安全策略对于构建安全可靠的应用环境必不可少。#Android #应用安全 #代码混淆 #数据加密
80 3
|
5月前
|
存储 安全 Android开发
安卓应用开发的安全之道
【7月更文挑战第4天】在数字时代,移动应用的安全性至关重要。本文将深入探讨在安卓平台上开发安全应用的最佳实践,包括代码混淆、数据存储加密、网络通信安全、权限管理以及定期的安全审计和更新策略。通过这些措施,开发者可以显著提高他们的应用抵御恶意攻击的能力,保护用户数据免受侵害。
|
6月前
|
安全 网络协议 网络安全
程序与技术分享:Android应用安全之数据传输安全
程序与技术分享:Android应用安全之数据传输安全
|
7月前
|
安全 算法 Android开发
安卓逆向工程与安全分析:保护您的应用知识产权
【4月更文挑战第14天】在数字时代,安卓应用开发者面临知识产权保护的挑战,主要源于安卓系统的开放性和逆向工程。逆向工程能揭示应用源代码,增加被盗用和安全风险。为应对挑战,开发者可采取代码混淆、加密、NDK开发、服务器端验证、定期更新和安全审计等策略。关注安全动态,利用第三方服务也是提升应用安全的重要途径。保护知识产权,确保应用安全,是开发者持续关注和努力的方向。
76 1
|
存储 安全 Java
Android DataStore:安全存储和轻松管理数据
Android DataStore:安全存储和轻松管理数据
|
安全 Android开发 数据安全/隐私保护
其实安卓手机也可以做到和苹果一样安全,只是他们不这样做
其实安卓手机也可以做到和苹果一样安全,只是他们不这样做