报道说TechXplore。
该操作,由研究人员在Zhejiang University和腾讯实验室,被编码为“ Bruteprint:将智能手机指纹身份验证暴露于蛮力攻击中。”这次攻击暴露了手机的锁定功能(锁定后或MAL)的弱点,使团队轻松地访问了存储在设备上或通过在线数据库中获取的生物识别指纹数据,并绕过了一个旨在限制无效的指纹匹配数量的取消击败(CAMF)。
在十台经过测试的手机中,发现来自Android和华为的模型很脆弱,而Apple的iOS设备能够承受蛮力攻击。对于脆弱的设备,报告详细攻击,“估计在40分钟的情况下,释放智能手机的最短时间是估计的。”
该报告说越熟悉演示攻击“通过向指纹传感器展示伪影(例如硅胶手指)来冒充目标受害者”,“长期以来一直被确定为对指纹身份验证系统安全性的严重威胁”。制造商依靠等工具LIVISINE检测并尝试限制来对抗演示攻击。但是,随着诸如Bruteprint之类的攻击,评估智能手机的指纹身份验证时,有新的风险要考虑。
全球生物识别数据市场,例如最近关闭创世纪市场,提供低性访问权限的访问权限数据泄露。此外,中国团队发现了“在指纹传感器的串行外围界面(SPI)上的指纹数据不足的保护”,这使得“用于中间人的硬件方法(MITM)指纹图像的攻击劫持。”
这不是Tencent Labs在智能手机指纹扫描仪上首次进行戳戳。在2019年的一次会议上,一支腾讯团队声称它可以在20分钟内通过照片攻击使用3D打印的手指在20分钟内轻松地进入任何Android或iOS设备。假手指在带有电容,光学和超声传感器的设备上工作。
