近日,苏州一公司
向国家工信(xin)部、公安部、中国人(ren)民银行、网信办
举报(bao)了手机指纹解锁存在的(de)惊天漏洞
民间大神团(tuan)队用透明胶带+导电笔
秒破安卓和苹果的(de)指纹识别
甚至用于支付
任何人的指纹都可以(yi)解开你的手机
更(geng)甚者
一块橘子皮都(dou)行
大神演示了这种解锁漏洞
这是(shi)大神自己的安卓手机
里面只有他自己的指纹
正常情况下,别人无法解锁
大神往手(shou)机指纹按键上
贴了一层透(tou)明胶带
大神开启了几次手机(ji),交给别人
对方用(yong)自己的手指
顺利解锁、开启了手机(ji)
不仅是拇指,任何一根(gen)指头都能开
给别的工作人员(yuan),人人都能开
然而检(jian)查手机设置
系统(tong)里
确实只有大神自(zi)己录入的一个指纹
com民间团队又测试(shi)了其他四款手机
结果也是一样
连一向以安全著称的苹果
同样不(bu)能幸免
破解指纹后
任何一个人
还可以通过微信或者支付宝向他人转账(zhang)
大神说
真正(zheng)发挥作用的,并不是透明胶(jiao)带
而是胶带上用导电(dian)涂层涂抹的图案
图(tu)案看上去像是修正液痕迹
但贴上去以后就可(ke)以万物解锁了
导电涂层有很多
最常见的就是导电笔(bi)
一支几十元,很(hen)容易就能买到
导电材料,从中起到什么作用
手机指纹锁解锁判断(duan)的原则是
数据库里(li)预存的数据
和你输(shu)进去的数据一致性(xing)
破(po)解指纹锁,就是利用传感器本身(shen)
把“攻击图像”输(shu)入数据库
“攻击图(tu)像”
就是抹在胶(jiao)带上的那坨导电(dian)层图案
当它与(yu)指纹锁接触时
指纹传(chuan)感器接收到的信息(xi)
其实是导(dao)电涂层,而不是手指指纹
现在的智能(neng)手机都有自学习功能
把贴了导电图案的胶带黏在(zai)手机上
(需要注意,导电图(tu)案不能完全覆盖指(zhi)纹传感器!)
这样在手指解锁中
传感(gan)器识别了小部分机主指纹,开机(ji)
而胶带上的导电图(tu)案,虽然不是指纹
但手机同样会把(ba)它输入数据库
又形成一(yi)个
新的导电图案+机主指纹(wen)的解锁图像
当(dang)其他人使用时
只要识别到那个导电图案(an),同样开机
那为(wei)何机主只需要小部分指(zhi)纹
而其他人用导(dao)电图案当指纹都能开机呢?
大神说
这就是目前指(zhi)纹解锁的最大BUG
指纹识别=认识+区(qu)别
但目前包括苹果在(zai)内的指纹算法供应商
只做了(le)认识,是不是指纹不做区别
(同样也(ye)有考虑用户体验,解锁更(geng)快的目的)
利(li)用这个漏洞,甚至(zhi)不需要指纹
用橘子皮压一下,手机都能解锁
相对来说,苹果手机会安全一点
苹果手机传感器(qi)的算法
跟国产安(an)卓手机不一样
在贴了导电层的胶带后
需要重新录入生成新的指(zhi)纹
才可以(yi)让其他人解锁
目前市面上热卖的指纹贴
将为作案提供(gong)更多的隐蔽性和欺骗性(xing)
比如说
你的VIVO、华为、魅族、小米等
国产安卓手机上(shang)有指纹贴
别人给你换一个做(zuo)过手脚的指纹贴
只要(yao)自己指纹开锁3次以上
任何人就能通过这(zhe)个指纹贴开锁
而如果你(ni)的苹果手机也有指纹贴
别人也给(gei)你换一个做过手脚的指(zhi)纹贴
当你发(fa)现指纹不灵敏后
很可能会重新录入指纹
这时的(de)指纹其实就是一个万能指纹
指纹锁的漏洞(dong)不仅仅存在手机领域
在(zai)安防上
很多指纹门锁只(zhi)要贴上一层膜
同样可以轻(qing)松被开启
追问:为何会有这样的漏洞
苏州一家企业实验室的技(ji)术官李扬渊表示:
制造(zao)商之所以要降低手机指纹的识(shi)别度,,第一,可能是考虑(lu)客户的舒适度。“识别度低,解起锁来(lai),成功率高,客户用起来(lai)也更方便。否则的话,如果制(zhi)造商提高识别度,解锁通过(guo)率会低,让客户感觉不方便。”
也不能排除有一种(zhong)可能,就是手机这一指纹识别软(ruan)件系统的供应商,软件制作业务水平实在(zai)太差,才造成了如此大的(de)安全漏洞。
提 个 醒
日常生活中,别让你的手机离开(kai)你的视线,基本上就不会给别有(you)用心者机会,在你手机上做手脚来破解(jie)你的指纹锁。
