自從iPhone 5s開啟指紋識別功能後,Android智能機紛紛效仿,各大手機廠商甚至廣推其安全性能。然而事實上,指紋技術並不能拯救手機的安全。
據報道,iPhone 5s發佈後僅一天,歐洲最大的駭客團體ChaosComputerClub 就宣佈破解了Touch ID ,並用視頻記錄了操作過程。
另一方面,Android機也沒能倖免。據介紹,採用的指紋識別核心技術是TrustZone。但在今年6月的MOSEC移動安全技術峰會上,360手機安全研究員申迪介紹了如何利用Android手機廠商在實現芯片級安全解決方案TrustZone時造成的軟件漏洞,在可信區域執行任意代碼,將TrustZone完全攻破。一旦TrustZone被完全攻破,黑客便能輕鬆竊取指紋識別數據。
TrustZone究竟是什麼來頭?
TrustZone是可保護敏感信息的一種硬件安全架構體系,用於把手機從硬件與軟件上分成安全區與普通區兩個區域。整個架構系統都是為了保護安全區中的數據,防範設備可能遭受到的多種特定威脅。因此,安全區與普通區從硬件到軟件都是被分割的,普通區第三方程序無法訪問安全區中的敏感數據。
但事實上,這並沒有多大的作用。
2014年8月,幾乎所有高通驍龍處理器都被爆出存在TrustZone高危漏洞。這些漏洞可以被黑客利用來攻破系統的保護機制,並獲得用户隱私資料。諸如支付保護技術、數字版權管理、自帶設備辦公等等都會是被攻擊的高危對象,不僅如此,黑客甚至有可能徹底破壞系統的安全機制。也就是説,攻擊者不僅能獲得安全區中的敏感數據,還能直接進入支付等高權限場景——TrustZone的分區保護形同虛設。
指紋識別搭配TrustZone,一度被稱作手機安全的最後一道防線。而在今年6月舉行的MOSEC移動安全技術峰會上,360安全研究員申迪先是完成了手機常規OS的內核提權、以及禁用最新版本SEforAndroid;爾後又利用該漏洞侵入安全區,成功繞過諸多安全特性,獲取到指紋等敏感信息。
殘酷的事實告訴我們,這最後一條防線也將變得搖搖欲墜。但是大家也不用絕望,雷鋒網消息,世界黑帽大會BlackHat將於8月份在拉斯維加斯舉行,屆時申迪將向全球黑客介紹有關Android系統TrustZone安全攻防的研究成果,並且現場演示從傳感器中讀取指紋數據的攻擊利用。大家可以關注下
資料來源:雷鋒網
作者/編輯:鷹揚
請按此登錄後留言。未成為會員? 立即註冊