近日，騰訊安全玄武實驗室和浙江大學的研究人員在論文《BrutePrint：暴露智能手機指紋認證的暴力攻擊》中，披露了一種針對安卓和鴻蒙手機指紋識別的新攻擊方法。該方法利用了兩個零日漏洞和指紋傳感器的串行外設接口（SPI）上的生物識別數據保護不足，可以無限次提交指紋圖像，通過暴力窮舉的方式破解指紋識別。

據了解，該攻擊方法需要對目標設備進行物理訪問，并使用一個成本約為15美元（約合106元人民幣）的設備，包括一個可抑制的攻擊板、一個硬件自動點擊器和一個可選的操作板。攻擊者還需要從學術數據集或生物識別數據泄漏中獲取指紋數據庫，并通過“神經風格轉換”系統將數據庫中的所有指紋圖像轉換為看起來像是目標設備的傳感器掃描圖像。 ?

研究人員對10款常見的智能手機進行了測試，其中包括6款安卓手機、2款華為鴻蒙手機以及2款iPhone。測試結果顯示，所有安卓和鴻蒙設備都至少存在一個允許入侵的漏洞，可以被無限次暴力破解。而iOS設備由于防御機制更嚴格，只能被額外嘗試10次（共15次）。

研究人員建議用戶盡量避免在手機上錄入多個指紋信息，并使用其他形式的身份驗證方式，如密碼、PIN碼或面部識別。同時，他們也呼吁智能手機廠商加強對指紋傳感器和生物識別數據的保護，并及時修復相關漏洞。

此次研究揭示了安卓與鴻蒙智能手機指紋識別技術存在的安全隱患，也提醒了用戶和廠商對生物識別技術應該保持警惕和審慎。作為一種便捷而普遍的身份驗證方式，指紋識別不僅涉及到用戶的隱私保護，也關乎到用戶的財產安全和信息安全，并且作為伴隨人一生的生物識別信息，一次泄露便意味著終生的不安全。因此，在享受技術帶來的便利的同時，也要注意防范技術帶來的風險。

?

文中圖片來源于網絡

?

電科技（www.diankeji.com）是一家專注于全球TMT行業的領先資訊媒體。

作為今日頭條青云計劃、百家號百+計劃獲得者，2019百度數碼年度作者、百家號科技領域最具人氣作者、2019搜狗科技文化作者、2021百家號季度影響力創作者，曾榮獲2013搜狐最佳行業媒體人、2015中國新媒體創業大賽北京賽季軍、 2015年度光芒體驗大獎、2015中國新媒體創業大賽總決賽季軍、2018百度動態年度實力紅人等諸多大獎。

投稿、商務合作請聯絡微信公眾號

聲明： 本站原創文章文字版權歸電科技所有，轉載務必注明作者和出處；本站轉載文章僅僅代表原作者觀點，不代表電科技立場，圖文版權歸原作者所有。如有侵權，請聯系我們刪除。