安卓/鸿蒙系统出现漏洞：指纹识别可被轻松破解

近日,腾讯安全玄武实验室和浙江大学的研究人员发表了一篇论文,论文中讲述了一种新的指纹攻击方法——“BrutePrint”。

“BrutePrint”是利用了两个零日漏洞和指纹传感器的设计缺陷,可以通过不断提交指纹图像,直到匹配到用户注册的指纹,从而解锁手机。

据论文介绍,BrutePrint攻击需要对目标手机进行物理访问,并使用一个成本约为15美元的设备,通过串行外设接口与指纹传感器进行通信。再利用从数据库中获取的指纹信息,攻击者不断尝试使用数据库中不同的指纹图像,直到匹配成功。

研究人员还发现了还发现了两个零日漏洞:Cancel-After-Match-Fail(CAMF)和Match-After-Lock(MAL),能绕过指纹识别的次数限制,从而破解指纹。

值得注意的是,在本次实验中,研究人员对十款手机进行测试,包括:6款安卓手机(Xiaomi 11 ultra、vivo x60 prod等),两款鸿蒙手机(Huawei mate30、Huawei P40),以及两款iphone(iPhone SE、iPhone 7)。

测试结果表明,所有手机在指纹识别的安全性上都存在缺陷,但是只有iPhone不能被无限次暴力破解,而安卓手机和鸿蒙手机能被成功破解。