三星、HTC都被攻破 iOS指紋加密大勝Android
陶子中/綜合報導
繼昨天曝光利用行動支付設備盜取信用卡資料的手法後,現正於美國拉斯維加斯舉行的黑帽資安大會也揭露Android手機品牌對指紋辨識加密保存的缺陷,並已經實作攻破Samsung Galaxy S5和HTC One Max兩款手機。
根據資安公司FireEye韋韜和張育龍兩位研究人員的說法表示,和iPhone從指紋辨識器就做到加密保護的機制相比,Andrroid系統手機對指紋辨識加密機制並不統一,有些廠牌甚至將指紋圖像儲存在System資料夾,意味手機遭root後將徹底暴露在風險中。這可讓駭客不必入侵獨立加密安全區,只要取得基本系統權限,便能直接在掃瞄指紋當下,第一時間取得指紋資料圖像。
研究人員發現Android系統的指紋辨識技術有被駭風險,並已經成功入侵Samsung Galaxy S5和HTC One Max,並表示其他搭載指紋紋辨識器的機種也面臨潛在風險。不過Google最新版Android 5.0系統則已經補起這個漏洞,所以最好的解決方法,就是立即為手機升級最新系統版本。
對此Samsung已經為自家推出的Samsung Pay支付服務做出限制,只要手機遭root過後就不能使用這項功能。但就研究人員的說法,這個問題的影響層面可能比想像還要廣泛,包括犯罪紀錄、通關資料和身份認證都與指紋息息相關,若不加以重視將是重大的潛在風險。資料來源:Forbes、Biometric Update、Black Hat USA 2015
延伸閱讀: