Android手机指纹遭黑客攻破 专家称防范要软硬件结合

日前据媒体报道，周三在黑帽技术大会(Black Hat conference)上有黑客演示了攻击Android设备，并获取用户指纹的方法。根据说明，黑客并不需要完全的root权限即可通过指纹传感器获取用户的指纹信息。专家指出，指纹识别的软件方面最易产生安全风险，防范上要“软硬件结合”。

该项演示是在HTC One Max和三星Galaxy S5上进行的，黑客通过一种名为“指纹传感器间谍攻击”的攻击能“远程大规模获取用户指纹”。由于厂商没有完全锁死指纹传感器，黑客可以从受影响的设备中秘密获取用户的指纹图像，而且只需“system”权限而不是“root”权限。一旦攻击得手，黑客能继续悄悄获取使用传感器的任何用户的指纹，并且是通过远程的方式获取。

据了解，目前指纹主要被用于身份认证、移民和犯罪记录方面，但最近的趋势是用于移动支付和解锁设备，例如新款的苹果iPhone手机，和少量一些Android设备。因此，如果指纹信息大量流入黑客手中，完全有可能被用于犯罪行为。

记者以此问题咨询360奇酷手机安全专家马冲，对方认为指纹安全确实应该引起社会的广泛关注，因为在未来一两年会有越来越多的手机将指纹传感器作为标配设备。不过他也指出，黑帽大会上进行指纹攻击演示的两款手机属于最早一批配备指纹传感器的Android手机，功能比较初级，新一代产品会在安全性上有很大的进步，并不输于苹果iPhone。

对于新一代Android手机的指纹保护，马冲解释称指纹识别其实包含传感器获取指纹和存储指纹信息两个方面：目前的方案中指纹信息存储在一个权限极高的区域，连手机的CPU也不能直接访问具体数据，而对传感器的访问权限需要在手机系统上做出防范。

他同时指出，智能新手机的指纹安全需要软件和硬件的配合才能保证，同时也需要有更多开发者的努力才能充分发挥指纹识别在安全和便利的优势。