公布该漏洞的技术团队在现场演示,只用一张白卡片就实现了任何手机的指纹解锁。不过从操作来看还是有一些先决条件的,最直接的一点就是手机必须是机主刚录过指纹或者用指纹解锁过。随后将白色卡片贴在指纹区域,用手指按压,神奇的一幕就出现了,手机竟然识别出机主的指纹并且进入桌面。
尽管有先决条件要求,但实际上操作难度极低,不但漏洞发现者当场破解指纹解锁,评委也非常简单的就使用漏洞解开手机,甚至主持人轻易也解开了手机锁。现场演示仅仅是对屏幕锁的破解,如果是支付环境,那效果简直不敢想象。为什么会这样呢?根据公布该漏洞的技术团队表示,这并不是某个手机品牌的问题,而是供应商的锅。但这么听起来,也表示任何屏幕指纹手机都有中招的可能。
其中的道理并不难理解。当我们录入指纹或者解锁之后,手机屏幕上会留下指纹残迹。此时白色卡片或者白纸的作用就是成为一个能够映衬残迹的背景。当指纹识别模块进行指纹检测的时候,就会检测到这个残迹,进而提取关键信息进行指纹验证,自然也就能够把手机指纹锁解开了。所以这个漏洞就被命名为“残迹重用”漏洞。
其实当我们使用任何指纹识别模块时都会留下使用后的指纹残迹。但关键在于检测方式——就拿我们常见的下置指纹或者后置指纹来说,它们都是会同时进行生物验证的,比如电容式指纹模块会检测生物电,超声波指纹模块会利用声波反射差检测指纹是平面还是立体,如果没有这些保护措施,也会存在残迹重用漏洞。
但现阶段屏幕指纹是基于光学检测的技术,超声波太贵没人用。光学检测是通过AMOLED屏幕之间的缝隙对指纹进行“拍照”,这本身就是一个把三维环境二维化的过程,这样的检测方式自然也就无法进行生物验证,特定情况下系统无法区分是机主手指按压还是指纹残迹,也就很容易骗过指纹识别模块了。不过技术团队表示,目前已经和屏幕指纹供应商沟通过,该漏洞已经得以修复。
不管漏洞是否修复,对个人来说保护隐私也不难。如果每次使用完指纹之后能随手在屏幕上抹一下,只要把屏幕上的指纹残迹擦掉也就基本上不会出现手机被破解的事情了,这就要养成习惯。其实我们生活中做任何事情都会留下“残迹”,成为泄露我们隐私的重要方式,保护隐私不能光靠技术,也要依靠好的习惯。
更多关注微信公众号:jiuwenwang
据报道,犯罪黑客正在通过一种有效的、狡猾的技术用偷来的执法部门的电子邮件从大型科技公司、ISP、运营商和社交媒体公司窃取用户数据。据网络安全记者Brian Krebs称,更具体地说,攻击者显然正在伪装成执法官员以获取传票特权数据。 一般来说,他们使用被破坏的执法部门电子邮件账户。 这种策略还依赖于...
因担心俄乌冲突引发的近期针对欧洲卫星网络发起的攻击可能很快蔓延到美国本土,政府机构已经向卫星通信网络运营商发出了“潜在威胁”预警。在美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)本周联合发布的一份公告中,其敦促卫星通讯(SATCOM)网络提供商和基础设施组织加强安全防御。若被入侵,或...
Hackernews 编译,转载请注明出处: 从2021年6月,一个可能来自巴基斯坦的攻击者与一个针对感兴趣目标的后门攻击有关,该攻击使用了一种基于 windows 的远程访问木马,名为 CrimsonRAT。 Cisco Talos公司的研究人员在与The Hacker New...
文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。 它被命名为 CVE-2022-290...
专业处理固件威胁的安全研究公司 Binarly,刚刚在周二的一篇博客文章中披露了 InsydeH2O“Hardware-2-Operating System”UEFI BIOS 中存在的问题。作为微软、英特尔、惠普、戴尔、联想、西门子、富士通等多家科技巨头的固件供应商,这意味着它们都易受将近两打安全...
根据 NK News 获得的日志文件和域名记录显示,在上周五和上周日朝鲜的关键服务器无法访问,从而在互联网上消失了数个小时。网络安全研究员 Junade Ali 说,连接失败的模式表明,朝鲜的 IT 基础设施可能受到了分布式拒绝服务(DDOS)攻击。 图片来自于 Pixabay Ali 表示:“断...