趋势网(微博|微信)讯:安全研究人员已经发现了一个重磅炸弹:HTC将指 纹的高分辨率图像直接存储在用户的Android手机上,并给予很少的保护。
何同学抄袭风波原作者发声 恩波格斗声明 百雀羚回应网传化妆品涉嫌添加禁用原料 2岁男童下楼买糖时被人拐走 旺旺三公子称明显有人在搞事
FireEye的研究人员上周发布了一份白皮书,该公司在其中强调从HTC手机中恢复图像文件是非常简单的,比如 One Max。
图:从HTC One Max中获取的指 纹点位图
上图展示的是未处理的点位图a和它重新排列的版本b。我们只粘贴了图像的一小部分以保护匿名的指 纹提供者。
以One Max 为例,HTC指 纹配置的图像直接保存到phone storage/data/dbgraw.bmp设置为“世界可读权限”,这意味着任何应用程序都能够窃取用户的指 纹。
更糟的是,每一个指 纹传感器被侵入 偷 窃时,图片会进行更新,因此恶意程序可以在没有监控下盗取多张图片。
在FireEye关于此疏漏的危险性警告下,HTC弥补了这个错误。
指 纹数据的攻防战
该公司还确定了另一种攻击方式。恶意软件通过在安卓手机中规避保护操作系统,能够直接访问指 纹硬件。
苹果公司采用了“secure enclave”来存储指 纹数据,但从来没有保存的实际图像。基于此恶意软件无法获取指 纹的扫描图像,尽管有小组成功使用被盗指 纹的硅图像入侵了一个iPhone手机。
今天的 新闻 表明,许多手机厂商仍没有踏出保护用户生物识别数据的步伐,我们很难知道他们会如何处理你的指 纹数据,或者它是否能被正确的监管保护起来。
手机安全技术分析:生物识别技术与硬件隔离技术
不得不说以上这些消息都与手机安全技术有关,而手机安全也是越来越重要。接下来让我们了解一下目前流行的两大手机的安全技术方向。
生物识别技术
生物识别技术相比密码技术,在安全性和便捷性上都有优势。 在手机安全技术上,目前主要有两个方向,一个是以苹果Touch ID为代表的生物识别技术。这种技术通过指 纹、眼球虹膜或者声纹等技术来识别身份,让非法用户无法访问手机中的信息。
另外一个方向是硬件隔离技术,以酷派“双系统硬隔离”为代表,这种技术的原理是在Android之外再建立一套独立的安全系统,在存储数据上属于物理隔绝,再加上专门的安全芯片在硬件上对系统进行加密,杜绝了被攻击和非法获取信息的可能性。
这两种技术各有优势。指 纹识别技术经过了苹果这两年的应用示范,目前已经有相对成熟的解决方案,智能手机厂商只需要购买相应的解决方案,即可推出具备指 纹识别,我们可以看到三星和魅族都在其机型上推出了。
不过,指 纹识别确实可以应对外围的非法入侵,但是Android生态的乱象已经不是一天两天,各种存在安全隐患的APP遍地都是,指 纹识别对于这种Android系统内部应用和黑客的攻击,无能为力。
图注:酷派硬隔离采取了物理上的隔离,所以在防止黑客入侵上会更有效
酷派硬隔离
硬隔离技术的最大优点在于采取了物理隔绝,规避了Android脆弱的软件系统安全现状,这种技术在硬件上的投入会相对较高,同时也要求厂商具备较强的安全技术储备和研发实力。
什么是硬隔离呢?如果把智能手机比喻成一栋别墅,人(APP和信息流)可以在各个房间(Android)内游走,那么硬隔离系统就像是一间地下密室,它的入口专用,只有主人可以进入,设置有保险柜级别的密码锁,而且没有楼梯,通路上的物理隔绝,让没有升降梯和入口密码的人根本无法进入。而常规的小 偷 (黑客攻击),最多就只能 偷 偷 进入各个房间而已。
酷派的双系统硬隔离,第二个系统就像是那个密室,准军用级别的加密芯片就像密室门口的密码锁,让黑客攻击无能为力。同时,这套系统还兼顾了语音通信的加密,这对经常需要在电话中谈及商业机密的商务人士来说,是防止窃听的有效手段。
其实这种双系统的思路在PC时代也出现过,不过用户接受程度不高,很大原因在于两个系统之间的切换太麻烦。酷派铂顿双系统设计,是可以达到”秒切“的程度的,手指一划就能完成切换,这大大降低了用户的适应性门槛。双系统、硬隔离在理论上会消耗更多的电能,但酷派铂顿双系统硬隔离在续航时间上,和单系统几乎没有差别。
过去安全也曾被手机厂商拿来做宣传点,但软件加密和防火墙,在安全性上还满足不了日益严峻的网络信息安全需求。高端手机会出现更多的”硬“安全方案,指 纹识别技术可能会更偏向大众消费级别的旗舰机型,而以酷派为代表的”双系统硬隔离“技术,则更适合对信息安全提出更高要求的商务人士。