日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
指紋識(shí)別并不安全指紋數(shù)據(jù)可以被竊取

在今年6月的MOSEC移動(dòng)安全技術(shù)峰會(huì)上,手機(jī)安全研究員介紹了如何利用安卓手機(jī)廠商在實(shí)現(xiàn)芯片級(jí)安全解決方案TrustZone時(shí)造成的軟件漏洞,在可信區(qū)域執(zhí)行任意代碼,將TrustZone完全攻破。自iPhone5s于手機(jī)中加入指紋識(shí)別功能后,指紋識(shí)別迅速在安卓機(jī)群中流行,儼然已成為旗艦機(jī)標(biāo)配。隨之而來的還有各大手機(jī)廠商的吹捧,指紋識(shí)別能完美解決安全問題云云。 可惜指紋技術(shù)并不能拯救手機(jī)安全。

創(chuàng)新互聯(lián)堅(jiān)持“要么做到,要么別承諾”的工作理念,服務(wù)領(lǐng)域包括:網(wǎng)站設(shè)計(jì)制作、網(wǎng)站設(shè)計(jì)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù),滿足客戶于互聯(lián)網(wǎng)時(shí)代的慈利網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴!

物極必反,被廠家與用戶過度神化的指紋識(shí)別功能也不是盡善盡美:iPhone5s發(fā)布后僅一天,歐洲最大的駭客團(tuán)體ChaosComputerClub 就宣布破解了TouchID ,并用視頻記錄了操作過程。

而在今年6月的MOSEC移動(dòng)安全技術(shù)峰會(huì)上,手機(jī)安全研究員介紹了如何利用安卓手機(jī)廠商在實(shí)現(xiàn)芯片級(jí)安全解決方案TrustZone時(shí)造成的軟件漏洞,在可信區(qū)域執(zhí)行任意代碼,將TrustZone完全攻破。

而TrustZone正是目前很多帶指紋識(shí)別的安卓手機(jī)確保安全的一個(gè)核心技術(shù),一旦被完全攻破,獲取指紋識(shí)別數(shù)據(jù)將變得很容易。

安全員在MOSEC移動(dòng)安全技術(shù)峰會(huì)的演示過程中表示,攻破搭載指紋識(shí)別系統(tǒng)的手機(jī),最困難的是利用TrustZone中的漏洞,因?yàn)檫@是一個(gè)完全的黑盒,缺乏文檔和必要的調(diào)試手段。據(jù)介紹,該次破解是利用內(nèi)核上的“任意地址寫固定值”漏洞,在獲取內(nèi)核代碼執(zhí)行權(quán)限后向TEE(可信運(yùn)行環(huán)境)發(fā)起進(jìn)一步攻擊,最終繞過TrustZone的防護(hù)系統(tǒng),可獲取諸多敏感數(shù)據(jù)。

說了這么多,TrustZone到底是什么?

TrustZone是為保護(hù)敏感信息的一種硬件安全架構(gòu)體系,把手機(jī)從硬件與軟件上分成安全與普通兩個(gè)區(qū)域。嚴(yán)格意義上講,指紋識(shí)別只是安全區(qū)中的一小部分。

在TrustZone的硬件架構(gòu)中,整個(gè)系統(tǒng)都是為了保護(hù)安全區(qū)中的數(shù)據(jù),防范設(shè)備可能遭受到的多種特定威脅。因此,安全區(qū)與普通區(qū)從硬件到軟件都是被分割的,普通區(qū)第三方程序無法訪問安全區(qū)中的敏感數(shù)據(jù)。

體現(xiàn)于手機(jī)上的就是,TrustZone會(huì)把智能手機(jī)的使用模式分為兩種,其一是普通使用,其二是安全使用(涉及敏感數(shù)據(jù))。例如機(jī)主在日常游戲、打字時(shí),手機(jī)停留在普通模式;而當(dāng)機(jī)主需要支付、輸入密碼或者指紋時(shí),手機(jī)就會(huì)自動(dòng)切換到安全模式,保護(hù)數(shù)據(jù)不被其它程序訪問。

可惜,看起來很安全的TrustZone并不值得Trust。

在2014年8月,幾乎所有高通驍龍?zhí)幚砥鞫急槐龃嬖赥rustZone高危漏洞。黑客可以依靠該漏洞攻破系統(tǒng)的保護(hù)機(jī)制,并獲得用戶隱私資料。支付保護(hù)技術(shù)、數(shù)字版權(quán)管理、BYOD(自帶設(shè)備辦公)等等都會(huì)成為攻擊目標(biāo),甚至有可能徹底破壞系統(tǒng)的安全機(jī)制。也就是說,攻擊者不僅能獲得安全區(qū)中的敏感數(shù)據(jù),還能直接進(jìn)入支付等高權(quán)限場(chǎng)景,TrustZone的分區(qū)保護(hù)形同虛設(shè)。

攻擊TrustZone需要獲得內(nèi)核權(quán)限,在以往的一些議題中通常以執(zhí)行內(nèi)核代碼為前提研究TrustZone的。而實(shí)際上往往需要組合2~3個(gè)0day漏洞才能完成一次真實(shí)有效的TrustZone攻擊。

在今年6月舉行的MOSEC移動(dòng)安全技術(shù)峰會(huì)上,安全研究員證明了若組合利用TrustZone相關(guān)軟件的兩個(gè)漏洞,任意Android軟件應(yīng)用,都能夠進(jìn)入安全區(qū)獲取敏感信息。并且申迪先是完成了手機(jī)常規(guī)OS的內(nèi)核提權(quán)、以及禁用最新版本SEforAndroid;爾后又利用該漏洞侵入安全區(qū),成功繞過諸多安全特性,獲取到指紋等敏感信息。

面對(duì)安全隱患,TrustZone又該何去何從?

隨著手機(jī)攜帶的功能越來越多,手機(jī)中私密信息的數(shù)量與重要程度也與日俱增。相應(yīng)的,手機(jī)中的數(shù)據(jù)安全越來越得到重視,因?yàn)槭謾C(jī)被破解,往往就意味著重要資料丟失、個(gè)人信息泄露、支付程序面臨巨額損失……但從當(dāng)前情況來看,手機(jī)對(duì)數(shù)據(jù)的保護(hù),仍不能讓大眾放下心中的顧慮。

曾經(jīng),指紋識(shí)別搭配TrustZone,一度被稱作手機(jī)安全的最后一道防線。

而如今,殘酷的事實(shí)告訴我們,這最后一條防線也開始變得并不穩(wěn)固。

8月份即將在拉斯維加斯舉行的世界黑帽大會(huì)BlackHat上,安全員將作為演講嘉賓向全球黑客介紹有關(guān)Android系統(tǒng)TrustZone安全攻防的研究成果,并且現(xiàn)場(chǎng)演示從傳感器中讀取指紋數(shù)據(jù)的攻擊利用。


當(dāng)前標(biāo)題:指紋識(shí)別并不安全指紋數(shù)據(jù)可以被竊取
網(wǎng)站URL:http://www.dlmjj.cn/article/dpgccdj.html