- 手機指紋傳感器是否真的毫無缺陷
- 來源:賽斯維傳感器網 發表于 2016/1/28
在目前市面上,幾乎所有主流智能手機都裝上了時下頗為流行的指紋掃描器。各大手機廠商無不宣稱其生物傳感器能改進用戶體驗和移動設備的安全。但這到底是真的嗎?
答案并不盡然。首先,這些傳感器并非毫無缺陷可言。老式的電容式傳感器幾乎無法識別出濕手的指紋,且通常第一次嘗試總是無法成功。因此如果夏天你手容易出汗或在鍛煉時,指紋傳感器往往都難以正確識別。如果你手指上有劃痕、傷疤和其它皮膚缺陷的話,也會降低識別的準確率。此外,許多傳感器無法有效分辨真手指和假手指—這是安全方面的一個重大漏洞。
隨著高通公司發布超聲指紋識別傳感器(利用超聲波掃描手指的三維圖像),上述問題都將得到有效解決。如此用假手指也無法再騙過指紋傳感器。此外,使用全新超聲指紋識別傳感器的話,即使手指有臟污或潮濕也能識別成功。但仍然存在其它的威脅。
安全研究專家們發現在HTC One Max和Samsung Galaxy S5兩款智能手機的指紋圖像保存在未加密的readable-by-any-app .bmp文件內—且保存格式只是常規的bmp圖片格式。任何有權訪問用戶圖片和互聯網的軟件都能輕松竊取這些指紋圖像。開發人員在發現這一漏洞后很快發布了針對性的安全補丁,但試問誰能保證下次推出新手機或發布更新系統時就不會犯同樣的錯誤?
此外,許多智能手機對指紋傳感器的安全保護相當薄弱,使得一些惡意軟件能輕松從指紋傳感器內竊取指紋圖片。但有趣的是,蘋果智能手機在這方面卻相當安全,原因在于對來自傳感器的指紋數據進行了加密。
有些手機廠商則采用ARM TrustZone技術保護手機內存儲的指紋數據。手機將指紋圖像保存在一個專門的虛擬”世界”中,主操作系統則無法訪問。因此,關鍵數據(例如:指紋)無法泄露并被第三方應用所利用。但不幸的是,根據實施模型,該技術同樣也存在缺陷。
如果有人告訴你指紋不是密碼,任何人無法與他人共享,你完全可以將上述解釋給他看—但千萬別當真。新年才沒過幾天,研究專家們就向我們展示了如何輕松竊取指紋—遠程操作,甚至無需當面接觸。只要能得到受害人指紋的高分辨率照片。單反相機加上不錯的變焦鏡頭,或者雜志上的高清晰度照片就行。并且這樣的方法也能被用來偽造虹膜。
如果密碼泄露的話,你可以很快更改密碼,但人的指紋卻永遠無法更改。萬一指紋被盜呢?因此對于目前各大主流手機廠商的宣傳廣告,你可不能完全相信。如果你的智能手機內置有指紋傳感器的話,我們建議您遵循以下幾條簡單的安全規則。
1. 盡管有手機廠商的承諾,但千萬不要用指紋掃描器來授權PayPal和其它資金交易服務。因為這很不安全。萬一手機被盜,你的資金賬戶將承受極大風險。竊賊完全可以輕松復制手機外殼上的指紋,然后用你的指紋權限給自己網購。竊取密碼的難度則要高很多—除非你能利用得當。
2. 通常人們會使用食指或大拇指作為生物測定登入憑證。盡管這很方便,但卻并不合適,因為人們操作手機時用得最多的就是食指和大拇指。在手機外殼上能很容易找到完整的食指和大拇指印痕,因此只需偽造指紋就能輕松攻破安全防線—互聯網上就有許多這樣的操作手冊。因此,右撇子最好用左手的小拇指和無名指的指紋,左撇子則反過來做。
3. 由于指紋掃描器不足以保護你的個人數據,因此為了個人隱私的安全著想,應該考慮使用一款特殊應用程序。例如,卡巴斯基安全軟件安卓版就內置有防盜和私人聯系功能。使用該安全軟件能追蹤被盜手機,遠程清除所有存儲數據或隱藏所有短信內容和聯系人列表。
轉載請注明來源:賽斯維傳感器網(www.sensorway.cn)
