三星Galaxy S5指紋傳感器存在一個(gè)安全漏洞,會(huì)導(dǎo)致用戶手機(jī)和貝寶(PayPal)應(yīng)用遭到黑客攻擊。研究人員通過一段YouTube視頻演示了如何利用木膠制作的假指紋繞過Galaxy S5的指紋鎖。
貝寶生態(tài)系統(tǒng)安全部門負(fù)責(zé)人麥克道爾(Brett McDowell)在接受采訪時(shí)說,這個(gè)問題是真實(shí)和已知的,但公眾無需驚慌。
麥克道爾說,他們絕不懷疑這個(gè)演示的真實(shí)性。他說,這是指紋傳感技術(shù)面臨的一個(gè)已知挑戰(zhàn),這些人都是世界頂級(jí)的研究人員,但這算不上是一個(gè)大漏洞,多數(shù)人無需擔(dān)心。
這段視頻是由總部位于德國(guó)柏林的安全研究實(shí)驗(yàn)室(Security Research Labs,簡(jiǎn)稱SRLabs)錄制的。視頻中展示的指紋模具可以騙過Galaxy S5指紋傳感器,將手機(jī)解鎖。SRLabs在視頻中說,他們對(duì)Galaxy S5顯示屏上遺留的指紋進(jìn)行手機(jī)拍照,然后制作假指紋或木膠指紋。Ars Technica此前對(duì)這段視頻做了報(bào)道。
視頻解說者稱,即使在設(shè)備關(guān)閉的狀態(tài)下,這種方法仍可以騙過指紋鎖,不僅如此,認(rèn)證嘗試似乎可以無限地進(jìn)行下去而無需輸入密碼。
貝寶是允許用戶使用三星指紋傳感器代替密碼的應(yīng)用程序之一。在這段視頻中,研究人員用假指紋登入貝寶,并成功地將資金轉(zhuǎn)移到一個(gè)外部賬戶。
麥克道爾說,黑客必須同時(shí)竊取到手機(jī)和原始指紋,還要有時(shí)間和資源趕在手機(jī)用戶通知貝寶客服中心切斷賬戶與丟失或失竊手機(jī)的聯(lián)系前復(fù)制出指紋,貝寶相信這種可能性放在指紋傳感器的安全性和便捷性面前算不了什么。
他說,這不是一件能在任意數(shù)量的手機(jī)上做的事情。他還說,這與短時(shí)間就能竊取數(shù)百萬個(gè)密碼的大規(guī)模“網(wǎng)絡(luò)釣魚”不同,這樣的情況一次只限于一部手機(jī),一個(gè)受害者。
蘋果的iPhone 5S也有指紋識(shí)別器,而且遭遇過類似的攻擊。但iPhone5s的指紋識(shí)別器不能用于第三方金融交易的身份認(rèn)證,只能用于蘋果自己的iTunes商店。
三星Galaxy S5 |
三星手機(jī) | |||||||||||||||
|
||||||||||||||||
