《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 业界动态 > 十几亿手机惊曝指纹漏洞!苏州一公司向国家四部门举报!

十几亿手机惊曝指纹漏洞!苏州一公司向国家四部门举报!

橘子皮+导电笔+胶带秒开指纹锁!
2018-01-10

  

近日,蘇州邁瑞微電子有限公司

向國(guó)家工信部、公安部、中國(guó)人民銀行、網(wǎng)信辦

舉報(bào)了手機(jī)指紋解鎖存在的驚天漏洞!

好奇實(shí)驗(yàn)室用透明膠帶+導(dǎo)電筆

秒破安卓和蘋(píng)果的指紋識(shí)別,

甚至用于支付!

任何人的指紋都可以解開(kāi)你的手機(jī)!

更甚者,

一塊橘子皮都行!

1.jpg

邁瑞微公司的工程師吳涵峰,

給好奇實(shí)驗(yàn)室的大史演示了這種解鎖漏洞,

2.jpg

這是吳涵峰自己的安卓手機(jī),

里面只有他自己的指紋,

正常情況下,大史無(wú)法解鎖。

吳涵峰往手機(jī)指紋按鍵上

貼了一層透明膠帶,

3.jpg

2018-01-08_154756.jpg

6365110602738750168723725.jpg

自己開(kāi)啟了幾次手機(jī),交給大史,

大史用自己的手指,

順利解鎖、開(kāi)啟了手機(jī)。

timg.jpg

1.jpeg


不僅是拇指,任何一根指頭都能開(kāi)!

給別的工作人員,人人都能開(kāi)!

2.jpeg

然而檢查手機(jī)設(shè)置,

系統(tǒng)里

確實(shí)只有吳涵峰自己錄入的一個(gè)指紋。

3.jpeg

好奇實(shí)驗(yàn)室又測(cè)試了其他四款手機(jī),

結(jié)果也是一樣,

連一向以安全著稱(chēng)的蘋(píng)果,

同樣不能幸免。

4.jpeg

破解指紋后,

任何一個(gè)人

還可以通過(guò)微信或者支付寶向他人轉(zhuǎn)賬。

5.jpeg

吳涵峰說(shuō),

真正發(fā)揮作用的,并不是透明膠帶,

而是膠帶上用導(dǎo)電涂層涂抹的圖案,

圖案看上去像是修正液痕跡,

但貼上去以后就可以萬(wàn)物解鎖了!

6.jpeg

導(dǎo)電涂層有很多,

最常見(jiàn)的就是導(dǎo)電筆,

一支幾十元,很容易就能買(mǎi)到。

7.jpeg

導(dǎo)電材料,從中起到什么作用?

蘇州邁瑞微首席技術(shù)官李揚(yáng)淵,

解釋了指紋鎖的原理和它的漏洞。

8.jpeg

手機(jī)指紋鎖解鎖判斷的原則是:

數(shù)據(jù)庫(kù)里預(yù)存的數(shù)據(jù),

和你輸進(jìn)去的數(shù)據(jù)一致性,

 破解指紋鎖,就是利用傳感器本身,

把“攻擊圖像”輸入數(shù)據(jù)庫(kù)。

9.jpeg

“攻擊圖像”,

就是抹在膠帶上的那坨導(dǎo)電層圖案!

當(dāng)它與指紋鎖接觸時(shí),

指紋傳感器接收到的信息,

其實(shí)是導(dǎo)電涂層,而不是手指指紋!

1.jpeg

現(xiàn)在的智能手機(jī)都有自學(xué)習(xí)功能,

把貼了導(dǎo)電圖案的膠帶黏在手機(jī)上,

(需要注意,導(dǎo)電圖案不能完全覆蓋指紋傳感器?。?/p>

這樣在手指解鎖中,

傳感器識(shí)別了小部分機(jī)主指紋,開(kāi)機(jī)!

而膠帶上的導(dǎo)電圖案,雖然不是指紋,

但手機(jī)同樣會(huì)把它輸入數(shù)據(jù)庫(kù),

又形成一個(gè)

新的導(dǎo)電圖案+機(jī)主指紋的解鎖圖像

當(dāng)其他人使用時(shí),

只要識(shí)別到那個(gè)導(dǎo)電圖案,同樣開(kāi)機(jī)!

2.jpeg

那為何機(jī)主只需要小部分指紋,

而其他人用導(dǎo)電圖案當(dāng)指紋都能開(kāi)機(jī)呢?

邁瑞微首席技術(shù)官李揚(yáng)淵說(shuō),

這就是目前指紋解鎖的最大BUG!

指紋識(shí)別=認(rèn)識(shí)+區(qū)別

但目前包括蘋(píng)果在內(nèi)的指紋算法供應(yīng)商

只做了認(rèn)識(shí),是不是指紋不做區(qū)別。

(同樣也有考慮用戶(hù)體驗(yàn),解鎖更快的目的。)

利用這個(gè)漏洞,甚至不需要指紋,

用橘子皮壓一下,手機(jī)都能解鎖。

ecf5d33da14044638c5de4e719e3608e.gif

相對(duì)來(lái)說(shuō),蘋(píng)果手機(jī)會(huì)安全一點(diǎn),

蘋(píng)果手機(jī)傳感器的算法

跟國(guó)產(chǎn)安卓手機(jī)不一樣,

在貼了導(dǎo)電層的膠帶后,

需要重新錄入生成新的指紋,

才可以讓其他人解鎖。

3.jpeg

但邁瑞微公司認(rèn)為,

目前市面上熱賣(mài)的指紋貼,

將為作案提供更多的隱蔽性和欺騙性。

4.jpeg

比如說(shuō),

你的VIVO、華為、魅族、小米等

國(guó)產(chǎn)安卓手機(jī)上有指紋貼,

別人給你換一個(gè)做過(guò)手腳的指紋貼,

你只要自己指紋開(kāi)鎖3次以上,

任何人就能通過(guò)這個(gè)指紋貼開(kāi)鎖。 

5.jpeg

   而如果你的蘋(píng)果手機(jī)也有指紋貼,

別人也給你換一個(gè)做過(guò)手腳的指紋貼,

當(dāng)你發(fā)現(xiàn)指紋不靈敏后,

很可能會(huì)重新錄入指紋,

這時(shí)的指紋其實(shí)就是一個(gè)萬(wàn)能指紋。 

6.jpeg   

邁瑞微首席技術(shù)官李揚(yáng)淵說(shuō),

指紋鎖的漏洞不僅僅存在手機(jī)領(lǐng)域。

在安防上,

很多指紋門(mén)鎖只要貼上一層膜,

同樣可以輕松被開(kāi)啟。



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118;郵箱:aet@chinaaet.com。

相關(guān)內(nèi)容