移动指纹传感器:更安全还是更不安全

越来越多的智能手机都已经配置了指纹扫描功能，如HTC One Max，Huawei Mate 7，iPhone 5s/6/6+，Samsung Galaxy S5。厂商声称生物传感器既能提高用户体验又能提高设备的安全性。但真的是这样吗?

       并不完全是。首先,这些传感器并不是完美的。旧的电容式指纹扫描仪几乎全都不识别潮湿的手指指纹，而且在任何情况下，第一次尝试指纹识别是不能正常识别的。如果你的手在夏天或训练期间出汗,你的智能手机可能会始终不“认识”你。伤疤,划痕和其他皮肤瑕疵也减少了识别质量。此外，许多传感器无法把一根真正的手指和一个模型区分开来——这是一个非常重大的安全漏洞。

       上述的一些问题在高通发布利用超声波来扫描手指的三维图像的超声波传感器后，将会得到解决。例如，新的超声传感器无论在手指脏或潮湿的状况下都能正常工作。但是仍然存在其他的威胁。

       新技术因为新，也总是存在很多漏洞的。不是不能够想出其它创新的技术——问题是必须以安全的方式实现，但并非所有供应商都能够做到这一点。即使他们能做到，他们也不会做第一个吃螃蟹的人。在2015年8月一种新的盗取指纹的方式被发现，并被远程和大规模地利用。

           FireEye 的安全专家发现HTCOne Max 用未加密的、任何app都可读取的.bmp文件（就像一个常见的位图图像）存储指纹图像。从而使具备读取用户图片功能和联网权限的任何应用，都可以盗取它们。Samsung Galaxy S5也存在该漏洞。漏洞被发现后，开发人员很快地提供了修复补丁，但谁能保证他们在新的手机和操作系统版本中不会再犯类似的错误呢？

漏洞详情参考：http://www.theverge.com/2015/8/10/9126027/htc-fingerprint-scanner-vulnerability-one-max

 

       此外,许多智能手机缺乏对传感器的保护，使得恶意软件能够从指纹扫描仪获取到准确的图片。苹果手机例外，它对指纹扫描仪的数据进行了加密。

       一些厂商(例如华为)使用ARM TrustZone技术保护他们设备上的数据。TrustZone有两种工作模式，一种是正常模式（Normal World），可以执行富指令，称为REE环境（Rich Execution Environment），另一种模式就是安全模式（secure world），只能执行受信指令，成为TEE环境（Trusted Execution Environment）。在安全模式下使用指纹扫描，其它应用无法访问到指纹图像。因此，至关重要的数据(比如指纹)不会泄漏和被第三方应用程序使用。不幸的是，根据实现模型,这一技术也是有缺陷的。

移动设备上的TrustZone隔离

 

使用TrustZone隔离技术改进的移动指纹身份验证框架

       当别人告诉你指纹不是密码，拥有者不能与别人分享，不会像密码一样容易忘记或者泄漏给别人时，千万不要相信。今年，研究人员证明了即使没有面对面的接触，远程盗取指纹其实是很容易的，只需要一个受害者手指的高质量照片就可以做到。而照片的获取只要一个拥有好的缩放镜头的单反相机甚至是一张高分辨率的杂志照片就足够了。

让黑客窃取你的脸有多容易?

https://t.co/SGtYtE1y63 # digitalidentitypic.twitter.com/Cz85TxEkYt

——卡巴斯基实验室(@kaspersky)2015年的10月28日

当你的密码泄露后，你可以在几分钟内修改它，但是如果使用指纹作为身份认证，如果他们被偷了咋办? 这就是为什么你能够完全相信市场主流厂商的承诺。如果你有内置指纹传感器的手机,我们建议您遵循这三个简单的规则。

1。尽管厂商一再承诺指纹识别的安全性，你也不要用你的指纹扫描仪进行PayPal 和其他金融服务的身份验证，这是不安全的。虽然现在手机在你手中，但可能明天就被偷了。小偷很容易从手机表面复制你的指纹然后购买东西。但是如果使用复杂的密码则很难做到。

告诉我你是谁,我将告诉你你的锁屏模式

https://t.co/kWOXB4qOIE #移动 #安全pic.twitter.com/iaw6p2SJ3k

——卡巴斯基实验室(@kaspersky)2015年8月11日,

2 通常人们会选择食指和拇指指纹进行登录。这确实很方便，但却是不正确的方式。因为这些手指都是我们在使用电话时用得最多的。这就是为什么很有可能在任何手机上找到一个完整的手指印，然后制造一个假的指纹绕过保护，尤其是网络上有很多这方面的教程。所以最好使用左手的小指和无名指，左撇子则相反。

3 指纹扫描仪不足以保护个人数据。如果你关心自己的隐私，可以考虑使用具备防盗功能的安全软件。他们可以帮助你追踪被盗手机,远程擦除所有手机数据或隐藏你的短信记录和联系人列表。

一般来说,指纹扫描仪是一个伟大的创新，其优点胜过缺点，但不要过多地依赖。明智地使用新技术，不要忽视密码、双因素认证和其他安全措施。

 

本文译自：https://blog.kaspersky.com/fingerprints-sensors-security/10951/

本文作者：whitecell-club bamb00

文章欢迎转载，转载请保留作者与出处

本文始发于微信公众号（WhiteCellClub）：移动指纹传感器:更安全还是更不安全