指紋辨識也不安全 中國開發出暴力破解技術
編譯/鄭智懷
指紋辨識已經被市面上智慧型手機廣泛採用,補充傳統密碼認證之不足。然而,騰訊玄武實驗室和浙江大學旗下研究員陳宇及何一玲在近期推出名為「BrutePrint」的攻擊技術,只需要15美元(折合新台幣約459元)的設備,最短在40分鐘內就能暴力破解指紋辨識系統,獲得手機控制權。
陳宇及何一玲聲稱,「BrutePrint」主要利用智慧型手機兩大漏洞:配對失敗後取消(Cancel-After-Match-Fail)與鎖定後配對(Match-After-Lock),繞過安全檢測與設定。
兩位研究員進一步指出,當前的指紋感應器上的串列週邊介面(Serial Peripheral Interface)實際上並未受到適切的保護,因此可以透過中間人(Man-in-the-middle)攻擊手法劫持指紋圖像。「BrutePrint」的運作原理實際上是利用指紋辨識系統並非依照特定數據,而是能容忍一定的錯誤值,因此可以不斷校正錯誤,取得足以通過身分認證的指紋數據。
在研究過程中,兩位研究員針對小米11 Ultra、Vivo X60 Pro、OnePlus 7 Pro、OPPO Reno Ace、Samsung Galaxy S10+、OnePlus 5T、華為Mate30 Pro 5G與P40,以及iPhone SE和7,總共10款智慧型手機進行測試,發現所有機型皆具有至少一項上述指出的安全漏洞。
其中,只要有充足的時間允許無限嘗試,Android手機無一例外,指紋辨識通通都可以被暴力破解。相較之下,iOS手機,亦即iPhone SE和7雖然也具有配對失敗後取消之漏洞,但由於Apple對串列週邊介面添加加密功能,最高只有15次的嘗試機會並不足以暴力破解用戶的指紋數據。換言之,iPhone無疑有更高的安全性。
陳宇及何一玲補充,用戶若只在手機上登錄一筆指紋資料,「BrutePrint」暴力破解成功的時間約落在2.9到13.9小時之間;但是若登錄兩筆以上的數據,破解成功的時間則減少至0.66到2.78小時。
資料來源:BleepingComputer、
瀏覽 3,755 次