如果說有一天,你的指紋數據也可以被破解,你會不會十分擔憂?
這可不是危言聳聽。騰訊安全玄武實驗室和浙江大學的研究人員提出了一種名為「BrutePrint」的新攻擊,該攻擊可通過暴力破解 Android 智能手機上的指紋,來繞過用戶身份驗證並控制裝置。
當然啦,有的網友很好奇,嚴密的指紋信息是如何破解的呢?整體的攻擊思路就是,向目標裝置執行無限次的指紋圖像提交,直到匹配到用戶定義的指紋,也就是所謂的「試錯」。想要達成這樣的攻擊,攻擊者需要對目標裝置進行物理訪問,發起 BrutePrint 攻擊,訪問可以從學術數據集或者生物識別數據洩露中獲取的指紋數據庫。
相關的論文已發表在 Arxiv.org 上,研究人員針對十種常見的智能手機進行了測試,在所有 Android 和華為 鴻蒙 HarmonyOS 裝置上實現了無限次嘗試破解指紋,在 iOS 裝置上實現了十次額外嘗試(共可嘗試 15 次)。
於是,就有專業人員針對 6款 Android 手機,2 款華為鴻蒙手機,2 款 Apple iPhone 進行測試。從實驗報告中發現,易受攻擊的裝置完成攻擊流程所需要耗費的時間大概在 2.9~13.9小時之間。如果註冊的指紋多,匹配的準確性就會提高,那麼暴力破解的時間也會相應縮短,下降到大概只需要 0.66~2.78小時!實驗的報告還透露一個信息就是:裝置的安全性都存在缺陷,但是 iPhone 相對來說會比 Android 和鴻蒙裝置安全一些,不會輕易被無限次暴力破解。
