報導說TechXplore。
該操作,由研究人員在Zhejiang University和騰訊實驗室,被編碼為“ Bruteprint:將智能手機指紋身份驗證暴露於蠻力攻擊中。”這次攻擊暴露了手機的鎖定功能(鎖定後或MAL)的弱點,使團隊輕鬆地訪問了存儲在設備上或通過在線數據庫中獲取的生物識別指紋數據,並繞過了一個旨在限制無效的指紋匹配數量的取消擊敗(CAMF)。
在十台經過測試的手機中,發現來自Android和華為的模型很脆弱,而Apple的iOS設備能夠承受蠻力攻擊。對於脆弱的設備,報告詳細攻擊,“估計在40分鐘的情況下,釋放智能手機的最短時間是估計的。”
該報告說越熟悉演示攻擊“通過向指紋傳感器展示偽影(例如矽膠手指)來冒充目標受害者”,“長期以來一直被確定為對指紋身份驗證系統安全性的嚴重威脅”。製造商依靠等工具LIVISINE檢測並嘗試限制來對抗演示攻擊。但是,隨著諸如Bruteprint之類的攻擊,評估智能手機的指紋身份驗證時,有新的風險要考慮。
全球生物識別數據市場,例如最近關閉創世紀市場,提供低性訪問權限的訪問權限數據洩露。此外,中國團隊發現了“在指紋傳感器的串行外圍界面(SPI)上的指紋數據不足的保護”,這使得“用於中間人的硬件方法(mitm)指紋圖像的攻擊劫持。 ”
這不是Tencent Labs在智能手機指紋掃描儀上首次進行戳戳。在2019年的一次會議上,一支騰訊團隊聲稱它可以在20分鐘內通過照片攻擊使用3D打印的手指在20分鐘內輕鬆地進入任何Android或iOS設備。假手指在帶有電容,光學和超聲傳感器的設備上工作。
