安全|央视报道!史上最大漏洞!一块橘子皮就能秒开你的手机,还能转账付款!

直播包头2021-04-03 14:26:45


近日,网上一篇《一块橘子皮就能秒开你的手机指纹锁 还能转账付款》的文章及视频引起了广泛的关注。里面提到,对于需要指纹验证的手机,通过使用一些简单的处理手段,任何人的指纹都可以解锁,甚至一块橘子皮都行。


央视新闻近日对这则新闻进行了报道和验证。



指纹触摸键被摔裂 

任何人都能解锁





指纹贴上做手脚 

可破解手机指纹锁


这种情况是否是因为手机被摔受损,而导致了指纹验证出现了误判?而用一块儿橘子皮就能通过指纹验证解锁开机,是否能说明指纹验证系统存在着一定的安全漏洞呢?


记者联系到了这条信息的发布者,在实验室里,技术人员演示了这一破解过程。



技术人员:我先用这个手机录一个指纹,我左手的拇指录入完毕了。现在可以看到这里面只有一个手指(指纹记录),只有我左手的拇指可以开锁。换一个人试一下。


记者:我解不了这个。


在经过一些处理后,之前并没有录入指纹的记者,竟然能够解锁开机。随后,技术人员又将目前市面上一些主流品牌型号的手机逐一试验,记者在没有提前录入指纹的情况下,都一一将这些手机用自己的指纹成功解锁开机。



桂圆、橘子皮、餐纸代替指纹

都能成功支付转账


除了指纹开机,利用指纹验证进行支付转账也是很多人目前经常使用的应用。记者拿出了自己的手机,打开了指纹支付这一功能。


之后技术人员对记者的手机进行一些操作,接下来除了记者本人能用指纹转账之外,用桂圆、橘子皮甚至餐巾纸等物品代替指纹也同样能够验证通过



关键在于指纹触摸键上的图案


技术人员说,他们根据网上视频反映的手机指纹触摸键裂纹这个线索,通过在实验室里模拟裂纹图案,并进行了多次试验,发现破解指纹验证的关键在于指纹触摸键上的图案


于是技术人员拿一小块儿胶布或市面上流行的指纹贴,背面用导电笔涂抹形成图案,贴到手机指纹验证的部位。只要机主的指纹触碰到这块胶布或者指纹贴,成功解锁开机几次后,别人便都可以随意开机了。



技术人员 李扬渊:裂痕本身会在传感器上形成一些图案,而贴上的膜(胶布或指纹贴),膜上的导电介质,都会为传感器形成一定的图案,因为这个图案是挡在手指前面的,它就会替代了指纹。这样的话最后的软件系统,它收到的时候已经有了这些图案成分的图,它收了这个图,它认证也是个图,所以它也会过。


技术人员认为,指纹传感器接收到的信息包含指纹贴上的导电涂层,并不完全是机主手指的指纹。而在进行指纹比对时,只要部分信息相同就能通过验证。因此只要经过处理,其他人的指纹同样能够验证通过。



清华大学自动化系副教授 冯建江:早期的指纹识别技术,像身份证用的,考勤用的,还有公安刑侦破案用的,原理是看手指上面的一些细节特征点,但这个技术现在不是手机上普遍采用的,主要是因为手机它传感器面积特别的小,信息很少,所以说就这个行业界就开始采用一种新的方案,它是利用图案本身。


应用指纹贴 

多领域产品解锁成功


如今,指纹验证不仅在手机上使用,在一些型号的笔记本电脑,甚至防盗门的电子锁上,都采用了指纹验证的方式。那么在这些领域里,指纹验证又是否存在这样的漏洞呢?



在一款笔记本电脑上,技术人员将指纹贴背面用导电笔进行涂抹,然后贴到指纹验证的触摸键上。随后,机主在这台电脑的系统里设置了指纹开机,并录入自己的指纹。接下来,由其他人打开这台电脑,用指纹试了几次后,同样能通过验证并开机


随后,技术人员又对某款门锁进行了试验,发现了类似的安全隐患。


专家:

指纹触摸键没受损或贴指纹贴

就不必过分担心


专家提示,虽然这个漏洞涉及到了不同领域的不同产品,但如果您的指纹触摸键没有受损或贴指纹贴,就可以正常使用,不必过分担心。同时,专家也提醒大家,如果对于安全性比较在意,尽量不要使用指纹贴。另外在使用指纹验证前最好先检查一下触摸键上是否贴有其它异物或图案。



清华大学自动化系副教授 冯建江:肯定是得检查一下,这是不是真的是一陷阱,肯定得把那个贴膜撕掉。如果说手机不小心摔裂了,这个时候有一个简单的办法,就是你试一下你的别的手指是不是也能够解锁成功,如果也能解锁成功,那说明是有这个漏洞的。据了解,目前工信部、质检总局等相关部门已介入调查,记者将持续关注。


专家:

橘子皮解锁需要机主配合

实际操作性较低


关于网传的橘子皮解锁手机,信息安全专家告诉记者,

网上的破解需要在机主配合的情况下才能实现,因此实际操作性较低。


如果机主不配合,其实是拿不到机主指纹的,也就无法实现橘子皮或者任意指纹解锁。


据了解,目前手机上普遍采用的指纹识别技术,是利用传感器捕捉指纹的图像信息。这一方式的最大漏洞在于,部分指纹厂商采用图像算法技术路线,所以不需要完整捕捉指纹的全部生物特征。因此,只要传感器捕捉的指纹图像与手机本地存储的指纹图像部分一致,手机即可完成解锁


相关专家告诉记者,

“胶带+导电液+橘子皮”解锁手机的原理,其实就是在原有信息的基础上人为插入部分错误信息,也就是机主正确指纹信息(A)加上导电介质组成的错误信息(B),从而形成新的指纹图像(A+B)


如此“偷梁换柱”之后,任何人的手指进行指纹解锁,都会带着插入的错误图像(B),手机识插入图像与内部储存信息是一致的,就解锁了


如果不用胶带,直接用导电介质在指纹按键上涂抹,能达到同样的解锁效果吗?


专家表示,理论上是可以的,但是导电介质直接涂在按键上会比较容易被弄花,从而影响实际解锁效果。


该专家说,这种指纹识别的漏洞其实以前并不存在,只不过应用指纹识别的手机越来越多,部分厂商采用了错误的技术路线,并且为了追求解锁的便利性,又主动降低了安全性,使得其中的风险凸显出来。要解决这个问题,需要改进指纹识别的技术实现方式。图像识别是漏洞最大的,目前业界其实有其他集安全性、便利性为一体的指纹技术路线。


来源:南方都市报、央视新闻


《直播包头》精彩回顾

 

新闻|欲助无证驾驶司机逃脱检查,女子将婴儿扔向交警

生活|一天抓三瘾君子,其中两人是兄弟

科普|多家航空公司喊乘客空中“开机”,怎么用?网速如何?

健康|一个简单动作治好脖子痛、腰痛、膝盖痛!

骗局|扩散!微信好友问你这句话,千万别回!多人已中招!

友情链接
Copyright © 云南橡胶材料价格联盟@2017