騰訊論文披露：鴻蒙系統(tǒng)存在重大安全漏洞，華為稱已在2021年修復(fù)

2023-05-24 10:16:52 編輯：宣宇博來源：

導(dǎo)讀近日，騰訊安全玄武實(shí)驗(yàn)室與浙江大學(xué)的研究人員在論文《BrutePrint：暴露智能手機(jī)指紋認(rèn)證的暴力攻擊》中，揭示了一種新的針對(duì)安卓和鴻蒙手...

近日，騰訊安全玄武實(shí)驗(yàn)室與浙江大學(xué)的研究人員在論文《BrutePrint：暴露智能手機(jī)指紋認(rèn)證的暴力攻擊》中，揭示了一種新的針對(duì)安卓和鴻蒙手機(jī)指紋識(shí)別的攻擊方法。

研究人員對(duì)包括6款安卓手機(jī)、2款華為鴻蒙手機(jī)和2款iPhone在內(nèi)的10款常見智能手機(jī)進(jìn)行了測(cè)試。測(cè)試結(jié)果顯示，所有的安卓和鴻蒙設(shè)備中至少存在一個(gè)允許入侵的漏洞，可以通過無限次的暴力破解來攻擊指紋識(shí)別系統(tǒng)。而iOS設(shè)備由于采用更為嚴(yán)格的防御機(jī)制，僅允許額外的10次嘗試（共15次）。

這種攻擊方法利用了兩個(gè)零日漏洞以及指紋傳感器的串行外設(shè)接口（SPI）上的生物識(shí)別數(shù)據(jù)保護(hù)不足。攻擊者可以無限次地提交指紋圖像，通過窮舉法暴力破解指紋識(shí)別。

研究人員建議用戶盡量避免在手機(jī)上錄入多個(gè)指紋信息，并使用其他形式的身份驗(yàn)證方式，如密碼、PIN碼或面部識(shí)別。同時(shí)，他們也呼吁智能手機(jī)制造商加強(qiáng)對(duì)指紋傳感器和生物識(shí)別數(shù)據(jù)的保護(hù)，并及時(shí)修復(fù)相關(guān)漏洞。

對(duì)此，華為回應(yīng)稱該漏洞已在2021年12月份修復(fù)，并已推送了相應(yīng)的安全補(bǔ)丁，相關(guān)問題已經(jīng)解決。