公布该漏洞的技术团队在现场演示,只用一张白卡片就实现了任何手机的指纹解锁。不过从操作来看还是有一些先决条件的,最直接的一点就是手机必须是机主刚录过指纹或者用指纹解锁过。随后将白色卡片贴在指纹区域,用手指按压,神奇的一幕就出现了,手机竟然识别出机主的指纹并且进入桌面。
尽管有先决条件要求,但实际上操作难度极低,不但漏洞发现者当场破解指纹解锁,评委也非常简单的就使用漏洞解开手机,甚至主持人轻易也解开了手机锁。现场演示仅仅是对屏幕锁的破解,如果是支付环境,那效果简直不敢想象。为什么会这样呢?根据公布该漏洞的技术团队表示,这并不是某个手机品牌的问题,而是供应商的锅。但这么听起来,也表示任何屏幕指纹手机都有中招的可能。
其中的道理并不难理解。当我们录入指纹或者解锁之后,手机屏幕上会留下指纹残迹。此时白色卡片或者白纸的作用就是成为一个能够映衬残迹的背景。当指纹识别模块进行指纹检测的时候,就会检测到这个残迹,进而提取关键信息进行指纹验证,自然也就能够把手机指纹锁解开了。所以这个漏洞就被命名为“残迹重用”漏洞。
其实当我们使用任何指纹识别模块时都会留下使用后的指纹残迹。但关键在于检测方式——就拿我们常见的下置指纹或者后置指纹来说,它们都是会同时进行生物验证的,比如电容式指纹模块会检测生物电,超声波指纹模块会利用声波反射差检测指纹是平面还是立体,如果没有这些保护措施,也会存在残迹重用漏洞。
但现阶段屏幕指纹是基于光学检测的技术,超声波太贵没人用。光学检测是通过AMOLED屏幕之间的缝隙对指纹进行“拍照”,这本身就是一个把三维环境二维化的过程,这样的检测方式自然也就无法进行生物验证,特定情况下系统无法区分是机主手指按压还是指纹残迹,也就很容易骗过指纹识别模块了。不过技术团队表示,目前已经和屏幕指纹供应商沟通过,该漏洞已经得以修复。
不管漏洞是否修复,对个人来说保护隐私也不难。如果每次使用完指纹之后能随手在屏幕上抹一下,只要把屏幕上的指纹残迹擦掉也就基本上不会出现手机被破解的事情了,这就要养成习惯。其实我们生活中做任何事情都会留下“残迹”,成为泄露我们隐私的重要方式,保护隐私不能光靠技术,也要依靠好的习惯。
更多关注微信公众号:jiuwenwang
据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。 漏洞的影响范围主要涉及 Java SE 和 Oracle Gr...
Microsoft Defender for Endpoint 今天出现了非常严重的误报事件,竟然将自家的 Office 应用程序更新 OfficeSvcMgr.exe 检测为勒索软件。今天早些时候,系统管理员在更新 Microsoft Defender for Endpoint 时注意到了恶意程...
因担心俄乌冲突引发的近期针对欧洲卫星网络发起的攻击可能很快蔓延到美国本土,政府机构已经向卫星通信网络运营商发出了“潜在威胁”预警。在美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)本周联合发布的一份公告中,其敦促卫星通讯(SATCOM)网络提供商和基础设施组织加强安全防御。若被入侵,或...
微软今天宣布近日捣毁了一个名为 ZLoader 的主要犯罪僵尸网络,这也是使用 XLM 宏作为攻击面的僵尸网络之一。微软的最新行动包括技术和法律活动,以破坏利用 ZLoader 作为恶意软件即服务(malware-as-a-service)的犯罪集团的运作。 在本次捣毁行动中,微软还锁定了一位开发...
对微软Exchange服务器造成严重破坏的臭名昭著的Hafnium黑客组织回来了。但这一次,微软清楚地知道这个国家支持的威胁行为者团体的活动意图,该组织正在利用”Tarrask”恶意软件来瞄准并不断削弱Windows操作系统的防御能力。 微软检测和响应小组(DART)在一篇博文中解释说,Hafni...
Hackernews 编译,转载请注明出处: 从2021年6月,一个可能来自巴基斯坦的攻击者与一个针对感兴趣目标的后门攻击有关,该攻击使用了一种基于 windows 的远程访问木马,名为 CrimsonRAT。 Cisco Talos公司的研究人员在与The Hacker New...