早前英國一個 Samsung S10 用家,意外發現自己部手機喺加裝矽膠保護套後,指紋鎖竟然變成任何人都開得。Samsung 喺事後又承認呢個 Bug 真係存在,但當時只係建議用家要用返原裝保護套,對解決件事毫無幫助。不過,Samsung 而家已開始推出更新檔,俾受今次事件影響嘅 S10、S10+、Note 10、Note 10+ 嘅用家,如果收到通知,就要即刻更新同埋重設指紋認證喇。https://www.youtube.com/embed/e-uG8ZO28hU?wmode=transparent&rel=0&feature=oembed 指紋鎖愈驗愈醇 根據 Samsung 嘅公布,呢批手機採用嘅超聲波指紋鎖存有漏洞,佢原本嘅解鎖原理,係透過收集超聲波反射嘅數據,去重建 3D 指紋圖案再進行驗證。不過,由於矽膠手機套本身嘅材料或入面嘅紋理有可能會被指紋鎖誤認為指紋特徵,所以如果戴咗套做指紋登記,呢啲「數據」會被記錄為指紋嘅一部分;而即使無戴套做指紋登記,亦會因手機系統慢慢「適應」咗用家嘅指紋誤差,令戴套後變得更容易解鎖。知道呢個漏洞後,NatWest、Royal Bank 等銀行已即時移除咗支援…
Search Results: 指紋鎖 (4)
Samsung S10 嘅超聲波指紋鎖,推出以嚟真係問題多多,例如之前有黑客成功用 3D 打印嘅指紋嚟破解指紋鎖,又因為超聲波掃描技術要緊密接解手指嘅關係,唔可以用無法緊貼住屏幕嘅玻璃保護貼,令到用家無乜選擇。而最新發現,原來要解指紋鎖係唔使咁麻煩嘅,只係一個廉價矽膠保護套,就可以令指紋鎖無效化,如果唔見咗部手機而又有設定到電子付款,今次真係可以俾人盜用嚟購物! 發現呢個大漏洞嘅人並唔係乜嘢安全專家,只係英國一個尋常女用家 Lisa。話說佢最近收到老公送嘅 Samsung S10 後,就諗住買個保護套嚟保護個曲芒。點知 Lisa用3蚊英磅買咗個矽膠保護套返嚟之後,就發現指紋鎖竟然廢咗武功,佢本身只係登記咗一隻指紋用嚟解鎖,但戴咗套後就變成十隻手指就開得到;唔單只咁,就連佢老公嘅指紋一樣得。由於 Lisa 嘅妹妹都係用 Samsung S10,經測試後發現個套一樣可以令指紋鎖無效化!相信事件嘅元兇就係個矽膠保護套喇。 Lisa 即刻打去 Samsung 客戶服務部舉報呢件事,不過 Samsung…
來自騰訊及浙江大學的研究員及學者,發現大部分品牌的 Android 手機,都存在暴力破解指紋鎖漏洞,雖然這些手機都有登入嘗試限制,但研究團隊就開發出一個可以無視輸入限制次數的設備,只要有足夠時間,在嘗試的十部 Android 手機中,全部都可以成功破解,而且登記得越多不同人的指紋,破解速度就越快! 想知最新科技新聞?立即免費訂閱 ! 暴力破解(Brute-force)是對密碼進行逐個推算,直到找出真正的密碼為止的一種攻擊方式。 以開啟手機密碼鎖為例,賊人會嘗試不同組合密碼,只要時間許可,終可讓賊人成功試出密碼組合。不過,暴力破解最大的敵人是猜測次數限制,只要在限定次數內無法猜出密碼組合,手機就會被暫時停用,必須等待一段時間才能再嘗試。 而騰訊及浙江大學組成的研究團隊,便針對智能手機的智紋解鎖功能,嘗試找出當中漏洞,最終讓他們成功研發出 BrutePrint 攻擊。研究團隊指出,他們主要針對指紋解鎖系統的三個漏洞進行暴力破解,而破解的前提是必須有智能手機在手,其次是必須將地下渠道取得大量的指紋資料庫,以團隊取得的資料庫為例,價值只須 15 美元,而最後必須有足夠的破解時間。 第一個漏洞稱為 Cancel-After-Match-Fail(CAMF),讓研究員可以提早停止系統確認驗證指紋對與錯的過程,令他們可以無限次輸入不同指紋,繞過手機的限制機制而不會記錄為失敗。 第二個漏洞是 Match-After-Lock(MAL),如果手機啟動了鎖定模式,即輸入錯誤指紋過了某個次數就會鎖定手機的功能,不過研究團隊發現 MAL 漏洞,讓他們能夠在鎖定模式繼續進行嘗試。…
2019 年最後一日,回顧今年發生過嘅大事,都仲係要提醒大家要將電子產品嘅軟件硬件韌體保持最新版本,點解?因為上星期網絡安全組織 Verint’s Cyber Threat Intelligence 嘅專家就發表報告,全球最多黑客利用緊嘅漏洞裏面,除咗有 45% 屬於微軟產品之外,當中有部分漏洞竟然喺 2012 年已被使用,雖然已被微軟修補,但足足 7 年都仲有好多用家未更新,你話係咪好離譜先! 唔好以為個人用家先係咁喎,今年 3 月美國電力供應商 North American Electric Reliability…