來自騰訊及浙江大學的研究員及學者,發現大部分品牌的 Android 手機,都存在暴力破解指紋鎖漏洞,雖然這些手機都有登入嘗試限制,但研究團隊就開發出一個可以無視輸入限制次數的設備,只要有足夠時間,在嘗試的十部 Android 手機中,全部都可以成功破解,而且登記得越多不同人的指紋,破解速度就越快! 想知最新科技新聞?立即免費訂閱 ! 暴力破解(Brute-force)是對密碼進行逐個推算,直到找出真正的密碼為止的一種攻擊方式。 以開啟手機密碼鎖為例,賊人會嘗試不同組合密碼,只要時間許可,終可讓賊人成功試出密碼組合。不過,暴力破解最大的敵人是猜測次數限制,只要在限定次數內無法猜出密碼組合,手機就會被暫時停用,必須等待一段時間才能再嘗試。 而騰訊及浙江大學組成的研究團隊,便針對智能手機的智紋解鎖功能,嘗試找出當中漏洞,最終讓他們成功研發出 BrutePrint 攻擊。研究團隊指出,他們主要針對指紋解鎖系統的三個漏洞進行暴力破解,而破解的前提是必須有智能手機在手,其次是必須將地下渠道取得大量的指紋資料庫,以團隊取得的資料庫為例,價值只須 15 美元,而最後必須有足夠的破解時間。 第一個漏洞稱為 Cancel-After-Match-Fail(CAMF),讓研究員可以提早停止系統確認驗證指紋對與錯的過程,令他們可以無限次輸入不同指紋,繞過手機的限制機制而不會記錄為失敗。 第二個漏洞是 Match-After-Lock(MAL),如果手機啟動了鎖定模式,即輸入錯誤指紋過了某個次數就會鎖定手機的功能,不過研究團隊發現 MAL 漏洞,讓他們能夠在鎖定模式繼續進行嘗試。…
Search Results: 指紋驗證 (3)
不論去銀行提款機撳錢,又或使用電腦登入帳戶,很多時也無法避免要使用鍵盤輸入密碼或登入資料。英國格拉斯哥大學研究團隊就指出,只要通過熱能監察鏡頭及AI人工智能系統,就可以憑鍵盤上殘留的熱量還原密碼,就算在一分鐘後偵測熱能,成功率都有 62%。系統甚至能 100% 破解 6 位數字的銀行提款機密碼,非常危險,以後輸入密碼,可能要作狀撳多幾個掣。 在鍵盤上讀取輸入密碼的橋段,曾經在大量電視劇集或電影內出現,不過大部分都是掃描留在輸入裝置上面的指紋,極少會偵測殘餘熱量。英國格拉斯哥大學電腦科學系研究員受到熱能監察鏡頭大跌價啟發,再結合人工智能及機器學習系統,設計出名為 ThermoSecure 的還原密碼方法。 研究員解釋,雖然一般人在鍵盤或 keypad 上輸入密碼,手指尖每次接觸表面材質的時間都很短,但無可避免地會將熱能傳送到表面上,因此只要在極短時間內利用熱能監察鏡頭拍攝鍵盤或 keypad 表面,便能取得曾輸入過的按掣資料及其順序。根據測試,在一分鐘時偵測熱能成功率有 62% ,如在 20 秒內,成功率更飊升至 86%。 研究員說,其實這種技術非常普通,要擷取資料並不困難。但還原密碼的難度在於連續輸入的時間極短,導致熱能變化差距微細,如果單靠人力去分析,除非密碼只得幾個字元,否則便極難做到,因此必須出動人工智能及機器學習,讓系統從大量數據中整理出人類輸入密碼及創建密碼的習慣、常用的密碼字元及組合等,即使是多字元的高強度密碼,也有可能成功還原。從研究員公布的數據可見,系統成功還原…
早前英國一個 Samsung S10 用家,意外發現自己部手機喺加裝矽膠保護套後,指紋鎖竟然變成任何人都開得。Samsung 喺事後又承認呢個 Bug 真係存在,但當時只係建議用家要用返原裝保護套,對解決件事毫無幫助。不過,Samsung 而家已開始推出更新檔,俾受今次事件影響嘅 S10、S10+、Note 10、Note 10+ 嘅用家,如果收到通知,就要即刻更新同埋重設指紋認證喇。https://www.youtube.com/embed/e-uG8ZO28hU?wmode=transparent&rel=0&feature=oembed 指紋鎖愈驗愈醇 根據 Samsung 嘅公布,呢批手機採用嘅超聲波指紋鎖存有漏洞,佢原本嘅解鎖原理,係透過收集超聲波反射嘅數據,去重建 3D 指紋圖案再進行驗證。不過,由於矽膠手機套本身嘅材料或入面嘅紋理有可能會被指紋鎖誤認為指紋特徵,所以如果戴咗套做指紋登記,呢啲「數據」會被記錄為指紋嘅一部分;而即使無戴套做指紋登記,亦會因手機系統慢慢「適應」咗用家嘅指紋誤差,令戴套後變得更容易解鎖。知道呢個漏洞後,NatWest、Royal Bank 等銀行已即時移除咗支援…