近日,蘇州一電子有限公司 向國家工信部、公安部、華人民銀行、網信辦 舉報了手機指紋解鎖存在的驚天漏洞! 好奇實驗室用透明膠帶+導電筆 秒破安卓和蘋果的指紋識別, 甚至用於支付! 任何人的指紋都可以解開你的手機! 更甚者, 一塊橘子皮都行! 蘇州電子公司的工程師吳涵峰, 給好奇實驗室的大史演示了這種解鎖漏洞, 這是吳涵峰自己的安卓手機, 裡面只有他自己的指紋, 正常情況下,大史無法解鎖。 吳涵峰往手機指紋按鍵上 貼了一層透明膠帶, 自己開啟了幾次手機,交給大史, 大史用自己的手指, 順利解鎖、開啟了手機。 不僅是拇指,任何一根指頭都能開! 給別的工作人員,人人都能開! 然而檢查手機設定, 系統裡 確實只有吳涵峰自己錄入的一個指紋。 好奇實驗室又測試了其他四款手機, 結果也是一樣, 連一向以安全著稱的蘋果, 同樣不能倖免。 破解指紋後, 任何一個人 還可以透過微信或者支付寶向他人轉賬。 吳涵峰說, 真正發揮作用的,並不是透明膠帶, 而是膠帶上用導電塗層塗抹的圖案, 圖案看上去像是修正液痕跡, 但貼上去以後就可以萬物解鎖了! 導電塗層有很多, 最常見的就是導電筆, 一支幾十元,很容易就能買到。 導電材料,從中起到什麼作用? 蘇州電子公司首席技術官李揚淵, 解釋了指紋鎖的原理和它的漏洞。 手機指紋鎖解鎖判斷的原則是: 資料庫裡預存的資料, 和你輸進去的資料一致性, 破解指紋鎖,就是利用感測器本身, 把“攻擊影象”輸入資料庫。 “攻擊影象”, 就是抹在膠帶上的那坨導電層圖案! 當它與指紋鎖接觸時, 指紋感測器接收到的資訊, 其實是導電塗層,而不是手指指紋! 現在的智慧手機都有自學習功能, 把貼了導電圖案的膠帶黏在手機上, (需要注意,導電圖案不能完全覆蓋指紋感測器!) 這樣在手指解鎖中, 感測器識別了小部分機主指紋,開機! 而膠帶上的導電圖案,雖然不是指紋, 但手機同樣會把它輸入資料庫, 又形成一個 新的導電圖案+機主指紋的解鎖影象 當其他人使用時, 只要識別到那個導電圖案,同樣開機! 那為何機主只需要小部分指紋, 而其他人用導電圖案當指紋都能開機呢? 該電子公司首席技術官李揚淵說, 這就是目前指紋解鎖的最大BUG! 指紋識別=認識+區別 但目前包括蘋果在內的指紋演算法供應商 只做了認識,是不是指紋不做區別。 (同樣也有考慮使用者體驗,解鎖更快的目的。) 利用這個漏洞,甚至不需要指紋, 用橘子皮壓一下,手機都能解鎖。 相對來說,蘋果手機會安全一點, 蘋果手機感測器的演算法 跟中國產安卓手機不一樣, 在貼了導電層的膠帶後, 需要重新錄入生成新的指紋, 才可以讓其他人解鎖。 但電子公司認為, 目前市面上熱賣的指紋貼, 將為作案提供更多的隱蔽性和欺騙性。 比如說, 你的VIVO、華為、魅族、小米等 中國產安卓手機上有指紋貼, 別人給你換一個做過手腳的指紋貼, 你只要自己指紋開鎖3次以上, 任何人就能透過這個指紋貼開鎖。 而如果你的蘋果手機也有指紋貼, 別人也給你換一個做過手腳的指紋貼, 當你發現指紋不靈敏後, 很可能會重新錄入指紋, 這時的指紋其實就是一個萬能指紋。 邁瑞微首席技術官李揚淵說, 指紋鎖的漏洞不僅僅存在手機領域。 在安防上, 很多指紋門鎖只要貼上一層膜, 同樣可以輕鬆被開啟。
近日,蘇州一電子有限公司 向國家工信部、公安部、華人民銀行、網信辦 舉報了手機指紋解鎖存在的驚天漏洞! 好奇實驗室用透明膠帶+導電筆 秒破安卓和蘋果的指紋識別, 甚至用於支付! 任何人的指紋都可以解開你的手機! 更甚者, 一塊橘子皮都行! 蘇州電子公司的工程師吳涵峰, 給好奇實驗室的大史演示了這種解鎖漏洞, 這是吳涵峰自己的安卓手機, 裡面只有他自己的指紋, 正常情況下,大史無法解鎖。 吳涵峰往手機指紋按鍵上 貼了一層透明膠帶, 自己開啟了幾次手機,交給大史, 大史用自己的手指, 順利解鎖、開啟了手機。 不僅是拇指,任何一根指頭都能開! 給別的工作人員,人人都能開! 然而檢查手機設定, 系統裡 確實只有吳涵峰自己錄入的一個指紋。 好奇實驗室又測試了其他四款手機, 結果也是一樣, 連一向以安全著稱的蘋果, 同樣不能倖免。 破解指紋後, 任何一個人 還可以透過微信或者支付寶向他人轉賬。 吳涵峰說, 真正發揮作用的,並不是透明膠帶, 而是膠帶上用導電塗層塗抹的圖案, 圖案看上去像是修正液痕跡, 但貼上去以後就可以萬物解鎖了! 導電塗層有很多, 最常見的就是導電筆, 一支幾十元,很容易就能買到。 導電材料,從中起到什麼作用? 蘇州電子公司首席技術官李揚淵, 解釋了指紋鎖的原理和它的漏洞。 手機指紋鎖解鎖判斷的原則是: 資料庫裡預存的資料, 和你輸進去的資料一致性, 破解指紋鎖,就是利用感測器本身, 把“攻擊影象”輸入資料庫。 “攻擊影象”, 就是抹在膠帶上的那坨導電層圖案! 當它與指紋鎖接觸時, 指紋感測器接收到的資訊, 其實是導電塗層,而不是手指指紋! 現在的智慧手機都有自學習功能, 把貼了導電圖案的膠帶黏在手機上, (需要注意,導電圖案不能完全覆蓋指紋感測器!) 這樣在手指解鎖中, 感測器識別了小部分機主指紋,開機! 而膠帶上的導電圖案,雖然不是指紋, 但手機同樣會把它輸入資料庫, 又形成一個 新的導電圖案+機主指紋的解鎖影象 當其他人使用時, 只要識別到那個導電圖案,同樣開機! 那為何機主只需要小部分指紋, 而其他人用導電圖案當指紋都能開機呢? 該電子公司首席技術官李揚淵說, 這就是目前指紋解鎖的最大BUG! 指紋識別=認識+區別 但目前包括蘋果在內的指紋演算法供應商 只做了認識,是不是指紋不做區別。 (同樣也有考慮使用者體驗,解鎖更快的目的。) 利用這個漏洞,甚至不需要指紋, 用橘子皮壓一下,手機都能解鎖。 相對來說,蘋果手機會安全一點, 蘋果手機感測器的演算法 跟中國產安卓手機不一樣, 在貼了導電層的膠帶後, 需要重新錄入生成新的指紋, 才可以讓其他人解鎖。 但電子公司認為, 目前市面上熱賣的指紋貼, 將為作案提供更多的隱蔽性和欺騙性。 比如說, 你的VIVO、華為、魅族、小米等 中國產安卓手機上有指紋貼, 別人給你換一個做過手腳的指紋貼, 你只要自己指紋開鎖3次以上, 任何人就能透過這個指紋貼開鎖。 而如果你的蘋果手機也有指紋貼, 別人也給你換一個做過手腳的指紋貼, 當你發現指紋不靈敏後, 很可能會重新錄入指紋, 這時的指紋其實就是一個萬能指紋。 邁瑞微首席技術官李揚淵說, 指紋鎖的漏洞不僅僅存在手機領域。 在安防上, 很多指紋門鎖只要貼上一層膜, 同樣可以輕鬆被開啟。