你以為手機(jī)的指紋辨識很安全？

　　資安業(yè)者FireEye卻擔(dān)心，不夠安全的指紋辨識生態(tài)環(huán)境將讓此一終身可驗證的使用者身份機(jī)制比密碼還要危險許多，并在上周舉行的黑帽大會上展示各種攻擊技法。

　　有愈來愈多行動裝置具備指紋掃描與辨識功能，根據(jù)Capsule的估計，到了2019年全球的智慧型手機(jī)出貨量中將有一半內(nèi)建指紋掃描器。然而，資安業(yè)者 FireEye卻擔(dān)心，不夠安全的指紋辨識生態(tài)環(huán)境將讓此一終身可驗證的使用者身份機(jī)制比密碼還要危險許多，并在上周舉行的黑帽大會（Black Hat 2015）上展示各種攻擊技法。

　　FireEye認(rèn)為，現(xiàn)代的行動裝置在針對指紋的安全防護(hù)機(jī)制有所不足，從而導(dǎo)致指紋外泄的風(fēng)險，包括混淆授權(quán)攻擊（Confused AuthorizaTIon Attack）、指紋資料儲存漏洞、指紋掃描器曝露漏洞，以及預(yù)載的指紋后門等。而假使未來駭客有能力從遠(yuǎn)端大量取得指紋，那么這恐怕將成為資安上的一場大災(zāi)難！

　　所謂的混淆授權(quán)攻擊是讓使用者分不清楚所授權(quán)的指紋辨識用途，F(xiàn)ireEye研究人員設(shè)計了一個應(yīng)用程式來假冒手機(jī)的鎖機(jī)畫面，然后要求使用者利用指紋解鎖，但事實上該指紋是用來執(zhí)行金錢交易的憑證。

　　在指紋資料儲存漏洞方面，例如FireEye就發(fā)現(xiàn)HTC One Max上的指紋資料是以所有人都可存取的BMP圖檔儲存，雖然圖檔內(nèi)容遭到變更，但駭客仍能輕易重組成正確的指紋圖片，意味著并非所有業(yè)者都能妥善儲存使用者的指紋資料。HTC在獲得FireEye的通知后已修補(bǔ)了該漏洞。

　　當(dāng)中最危險的可能是手機(jī)指紋掃描器的漏洞。ARM的安全架構(gòu)設(shè)計允許業(yè)者隔離某些重要的設(shè)備，但大多數(shù)制造商卻未使用此一功能來保護(hù)指紋掃描器，使得駭客有機(jī)會存取指紋掃描器，透過惡意程式于背景持續(xù)接收來自該掃描器的資訊。研究人員并成功地在HTC Max One與Samsung Galaxy S5上取得指紋掃描器的存取權(quán)，每當(dāng)掃描器運(yùn)作時就能取得指紋資訊。不過HTC與三星皆已修補(bǔ)相關(guān)漏洞。

　　在此一攻擊場景中，蘋果的Touch ID相對安全，主因為蘋果加密了所有自指紋掃描器傳出的資料，就算駭客能夠讀取掃描器，但也必須取得加密金鑰才能獲得指紋影像。

　　駭客還可在手機(jī)未交到使用者手上前便嵌入指紋后門，加入自己的指紋資訊，以自己的指紋充當(dāng)該裝置的憑證。

　　早就有不少的資安業(yè)者針對生物辨識認(rèn)證機(jī)制提出警告，指出在密碼時代，當(dāng)密碼外泄時，只要重新設(shè)定一個新密碼即可，但指紋外泄卻是更大的災(zāi)難，因為指紋代表了使用者的身份，從犯罪記錄、出入境紀(jì)錄，到銀行憑證等。FireEye建議，所有的平臺都應(yīng)改善指紋認(rèn)證框架以強(qiáng)化對指紋資料及指紋掃描器的保護(hù)，也建議使用者定期更新裝置并避免從不安全的來源安裝程式。