只用20分鐘,我們就能用偽造你的指紋,解鎖你的手機

發(fā)布時(shí)間:2017-5-22 10:21    發(fā)布者:eechina
關(guān)鍵詞: 指紋 , 解鎖
Synaptics公司供稿

人們已經(jīng)自然而然地認為指紋是獨一無(wú)二的,而且遠比密碼安全。從很多方面來(lái)說(shuō),確實(shí)是這樣的。但不為人熟知的是:筆記本廠(chǎng)商選擇的指紋傳感器,可能會(huì )導致你的指紋圖像被盜取,讓小偷可以拿著(zhù)一把“萬(wàn)能鑰匙”,使用你所有設備,訪(fǎng)問(wèn)你公司的資料。

目前筆記本市場(chǎng)上有兩種類(lèi)型的指紋傳感器:一種是加密、安全的;另一種是沒(méi)有加密、不安全的。如果你不幸買(mǎi)了指紋傳感器不具備加密功能的電腦,那你就是將你的指紋圖像和“萬(wàn)能鑰匙”開(kāi)放給了小偷。和密碼不一樣的是,當你的指紋被偷之后,你是不能修改你指紋的。

小偷盜走沒(méi)有加密的指紋圖像能做什么呢?他們可以制作假體,或者用一款不超過(guò)200美金的噴墨打印機打印出你的指紋圖像。有了假指紋,他們不僅可以解鎖那部你指紋被盜走的電腦,而且還能解鎖你的手機,偷走你所有個(gè)私人信息和照片。別忘了,如果你的電腦還連著(zhù)你的公司網(wǎng)絡(luò ),相當于你也把你公司的商業(yè)機密以及其他保密信息都交給了小偷。這是BYOD(攜帶自己的設備辦公)時(shí)代,IT安全人員應該對此格外注意。

比制作出一個(gè)實(shí)體假指紋更危險的是,小偷可以通過(guò)一個(gè)叫做Replay Attack的東西,隨時(shí)黑進(jìn)你的電腦。小偷可以擁有電腦主人擁有的所有權限。比如說(shuō),如果一個(gè)IT管理員賬戶(hù)被盜用,那么小偷就將擁有廣泛的公司服務(wù)器權限。當你盜走一個(gè)指紋圖像,你可以把圖像植入或回放進(jìn)電腦里來(lái)實(shí)現解鎖。電腦將無(wú)法區分真實(shí)手指,和被植入回來(lái)的假指紋之間的區別。一旦小偷可以植入指紋圖像,他們就可以遠程解鎖電腦,獲得你的數據以及企業(yè)網(wǎng)絡(luò )服務(wù)的訪(fǎng)問(wèn)權限。這種攻擊方法也可以應用在電源控制電路,小偷可以隨意遠程啟動(dòng)系統或關(guān)閉系統不被任何人發(fā)現。


圖一

在圖一中,最上方的是被盜電腦(可以使用任何一款指紋傳感器不具備加密功能的電腦),下方是黑客電腦(任一具備藍牙的PC都可以)。黑客電腦無(wú)線(xiàn)地從被盜電腦上側錄未加密的指紋。然后黑客電腦就可以永久擁有一個(gè)人的指紋圖像了。

黑客電腦現在可以執行兩種不同的操作。它既可以將獲取的指紋數據重新發(fā)送回被盜電腦,然后遠程解鎖電腦;也可以將指紋圖像發(fā)送到打印機,通過(guò)使用現成的打印機和導電墨水,黑客就能創(chuàng )建一個(gè)“萬(wàn)能鑰匙”并且訪(fǎng)問(wèn)被盜電腦——甚至還能無(wú)需觸碰就訪(fǎng)問(wèn)被盜者的手機。

那么我們如何去預防這種現象呢?使用加密的指紋傳感器。要求我們的筆記本電腦制造商使用加密指紋傳感器。Synaptics從多年前就已經(jīng)開(kāi)始出貨加密指紋傳感器了,并且還推出了一整套叫作SentryPoint的安全套件,為指紋識別傳感器提供全面安全保護。除了其他的安全加密特征,SentryPoint安全套件還能將傳感器和電腦主機之間的線(xiàn)路進(jìn)行加密。要求我們的筆記本制造商使用Synaptics的加密傳感器或其他供應商的加密傳感器。使用未加密的指紋傳感器會(huì )將用戶(hù)的指紋數據暴露在危險中,這種危險可以輕易地被利用,但是也可以很容易地避免。

并不是所有的加密都是一樣的。要求從傳感器到主機的全方位加密是非常重要的。之所以會(huì )產(chǎn)生這個(gè)問(wèn)題,是因為一些筆記本電腦制造商選擇使用廉價(jià)的未加密的手機指紋傳感器,并通過(guò)一個(gè)微控制器將傳感器和筆記本電腦相連接。這種情況下,即使從微控制器到主機的鏈路是加密的,也不安全,因為加密的安全性將取決于鏈路最薄弱的環(huán)節。任何未經(jīng)加密的線(xiàn)路都是極其脆弱的。加密指紋傳感器和微控制器之間的鏈接是很脆弱的,很容易受到上述攻擊。

為什么一些筆記本電腦制造商會(huì )使用未經(jīng)加密的手機指紋傳感器,讓你的隱私及公司信息存有潛在安全隱患呢?因為那些傳感器便宜,它們是僅為手機使用而設計的。如今的手機,都是防水的,而且很難被拆開(kāi)。與電腦不同,手機幾乎在任何時(shí)候都是不離身的。手機可以依靠物理上的安全來(lái)確保傳感器的安全。但筆記本電腦卻不同,它通常都會(huì )被放在家里的桌子上、汽車(chē)里、辦公室里或者是公共咖啡廳的桌子上。你可以在短短幾分鐘內就輕松訪(fǎng)問(wèn)電腦內的文件。正由于安全和使用模式的不同,手機的安全組件不應該被用于筆記本電腦上。

小偷和黑客往往把注意力集中在小概率事件上,因為顯而易見(jiàn)的安全隱患已受到嚴密的監控。英特爾和微軟都在努力保護主機中的數據,固態(tài)硬盤(pán)是經(jīng)過(guò)加密的,甚至BIOS也是受保護的,這就讓沒(méi)有加密的傳感器很容易成為被攻擊的目標。這包括任何一個(gè)傳輸未加密圖像的生物傳感器,而指紋傳感器則是首當其沖。因此需要各方共同努力,加密所有生物傳感器來(lái)確保安全。

在Synaptics,我們提供一整套名為SentryPoint的安全套件,為指紋識別傳感器提供全面安全保護。這些安全保護的基礎是SecureLink,通過(guò)強大的TLS 1.2加密和AES-256256位高級加密提供從傳感器到主機的加密保護,這也是 Synaptics的關(guān)鍵差異化優(yōu)勢。除此之外,我們還提供其他技術(shù),比如PurePrint可區分真假手指…也被叫作“假體指紋”。作為模塊化軟件架構的一部分, PurePrint驅動(dòng)器可升級更新,以應對新出現的威脅。我們現在已開(kāi)始出貨支持PurePrint技術(shù)的驅動(dòng)器。最后,如果您想要最堅不可摧的安全解決方案,我們可以提供行業(yè)獨一無(wú)二的Match-in-Sensor傳感器匹配解決方案。在這個(gè)解決方案中,指紋模板將只在傳感器內進(jìn)行匹配。這種方案將傳送至主機的數據限制在簡(jiǎn)單的“是”或“否”。即便如此,匹配結果也是加密的。如果筆記本電腦制造商選擇使用有Synaptics SentryPoint技術(shù)的指紋傳感器,那么上述破解攻擊成功的幾率將被大大降低。

多年以來(lái),我們的許多客戶(hù)已經(jīng)采用了完全加密的指紋傳感器,有些甚至選擇具備更高安全可靠性的加密技術(shù)和Match-in-Sensor傳感器匹配技術(shù)。今年開(kāi)始,我們在驅動(dòng)器中也開(kāi)始出貨PurePrint防偽造技術(shù),幫助我們防御假體指紋。

我們在零售店購買(mǎi)了我們的演示筆記本電腦,這臺筆記本電腦使用的是未加密的手機傳感器。在過(guò)去的兩個(gè)星期里,我們一直在實(shí)時(shí)演示竊取用戶(hù)指紋圖像是何等容易的一件事。僅僅五分鐘,我們就可以偷走你的指紋,然后獲得你筆記本電腦和公司網(wǎng)絡(luò )的所有訪(fǎng)問(wèn)權限;在不到20分鐘內,我們就能偷走你的指紋,然后制作假體去解鎖大多數主流手機,去查看手機中的文本、圖片和數據。

我們將在5月30日至6月3日期間,在臺北電腦展(COMPUTEX TAIPEI)演示上述安全隱患及其解決方案,如果您計劃前往臺北電腦展并對此感興趣,歡迎與Synaptics聯(lián)系,我們將會(huì )為您預約時(shí)間參觀(guān)及體驗。

本文地址:http://selenalain.com/thread-364276-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页