指紋解鎖被黑 三星谷歌等廠商如何自證清白？

　　這個(gè)移動(dòng)互聯(lián)網(wǎng)的世界究竟有多不安全?看看你自己的手機(jī)就知道了。

　　近日，一則關(guān)于Android系統(tǒng)智能手機(jī)指紋識(shí)別功能的巨大漏洞被曝光，再次引發(fā)了人們對(duì)于移動(dòng)安全的關(guān)注。同時(shí)，這一事件是否會(huì)對(duì)國內(nèi)的手機(jī)用戶造成影響，也是輿論爭(zhēng)論的焦點(diǎn)。

　　事件緣起于本周在美國洛杉磯召開的黑帽安全技術(shù)大會(huì)(BlackHat)，兩名來自中國的程(Hei)序(Ke)員利用Android系統(tǒng)安全漏洞攻破了其指紋識(shí)別功能，并順利竊取到了用戶的指紋信息。現(xiàn)場(chǎng)展示的機(jī)型包括三星的GalaxyS5和HTCOneMax。

　　據(jù)上述人士表示，在本次攻擊中，漏洞源于Android系統(tǒng)的安全構(gòu)架問題和原始設(shè)備制造商創(chuàng)建的遠(yuǎn)程支持工具的缺陷。用戶的指紋數(shù)據(jù)會(huì)直接落入攻擊者的手中，“只要受害者還活著，攻擊者就能肆意利用其指紋信息做壞事”——移動(dòng)支付、設(shè)備密碼、身份、甚至非法移民和犯罪。同時(shí)，該漏洞也會(huì)涉及到不少高端筆記本電腦的指紋傳感系統(tǒng)。

　　據(jù)悉，由于很多設(shè)備制造商并未完全“鎖定”其指紋支付系統(tǒng)，因此攻擊者可以在神不知鬼不覺的情況下從被感染的設(shè)備上偷走指紋信息。

　　好在對(duì)此，谷歌和三星官方已做出回應(yīng)，并表示將修補(bǔ)這一漏洞：

　　谷歌：“感謝研究人員提出的問題，這鞭策我們進(jìn)行改善，這個(gè)問題Android手機(jī)廠商已經(jīng)解決并提供更新補(bǔ)丁。希望大家使用可靠的應(yīng)用程序來源，比如說GooglePlay。”

　　三星：“感謝用戶的信任，并使用我們的產(chǎn)品和服務(wù)。我們意識(shí)并了解到問題，并已經(jīng)提供了解決方案，希望大家不要安裝不可信的應(yīng)用程序。”

　　在國內(nèi)，目前已有多家手機(jī)廠商在自家的產(chǎn)品上添加了指紋識(shí)別功能，已經(jīng)發(fā)布的包括華為Mate7及榮耀7、中興AXON天機(jī)等。那么，他們是否也會(huì)在此次事件中躺槍呢?

　　中興技術(shù)人士向筆者表示，AXON天機(jī)的指紋數(shù)據(jù)是存儲(chǔ)在其內(nèi)核芯片的TrustZone區(qū)域的，這個(gè)區(qū)域與Android系統(tǒng)及其他硬件環(huán)境“完全隔離”。所以，黑客即便攻破Android系統(tǒng)也是無法進(jìn)入TrustZone獲取用戶的指紋圖像。

　　而在此前，華為也對(duì)其指紋識(shí)別功能做出了公開說明并稱其是一套基于芯片硬件的安全解決方案：指紋加密、存儲(chǔ)、校驗(yàn)的程序是運(yùn)行在海思芯片里物理隔離的安全OS中，安卓環(huán)境下的程序無法直接訪問，即使手機(jī)被root后，這部分仍然不能被訪問和篡改。同時(shí)，手機(jī)并不會(huì)保存指紋圖像，只保存經(jīng)過提取后的模板信息，通過指紋模板并不能還原出指紋圖像。