指紋解鎖被黑 三星谷歌等廠商如何自證清白？

　　這個移動互聯(lián)網(wǎng)的世界究竟有多不安全?看看你自己的手機就知道了。

　　近日，一則關(guān)于Android系統(tǒng)智能手機指紋識別功能的巨大漏洞被曝光，再次引發(fā)了人們對于移動安全的關(guān)注。同時，這一事件是否會對國內(nèi)的手機用戶造成影響，也是輿論爭論的焦點。

　　事件緣起于本周在美國洛杉磯召開的黑帽安全技術(shù)大會(BlackHat)，兩名來自中國的程(Hei)序(Ke)員利用Android系統(tǒng)安全漏洞攻破了其指紋識別功能，并順利竊取到了用戶的指紋信息。現(xiàn)場展示的機型包括三星的GalaxyS5和HTCOneMax。

　　據(jù)上述人士表示，在本次攻擊中，漏洞源于Android系統(tǒng)的安全構(gòu)架問題和原始設(shè)備制造商創(chuàng)建的遠程支持工具的缺陷。用戶的指紋數(shù)據(jù)會直接落入攻擊者的手中，“只要受害者還活著，攻擊者就能肆意利用其指紋信息做壞事”——移動支付、設(shè)備密碼、身份、甚至非法移民和犯罪。同時，該漏洞也會涉及到不少高端筆記本電腦的指紋傳感系統(tǒng)。

　　據(jù)悉，由于很多設(shè)備制造商并未完全“鎖定”其指紋支付系統(tǒng)，因此攻擊者可以在神不知鬼不覺的情況下從被感染的設(shè)備上偷走指紋信息。

　　好在對此，谷歌和三星官方已做出回應(yīng)，并表示將修補這一漏洞：

　　谷歌：“感謝研究人員提出的問題，這鞭策我們進行改善，這個問題Android手機廠商已經(jīng)解決并提供更新補丁。希望大家使用可靠的應(yīng)用程序來源，比如說GooglePlay。”

　　三星：“感謝用戶的信任，并使用我們的產(chǎn)品和服務(wù)。我們意識并了解到問題，并已經(jīng)提供了解決方案，希望大家不要安裝不可信的應(yīng)用程序。”

　　在國內(nèi)，目前已有多家手機廠商在自家的產(chǎn)品上添加了指紋識別功能，已經(jīng)發(fā)布的包括華為Mate7及榮耀7、中興AXON天機等。那么，他們是否也會在此次事件中躺槍呢?

　　中興技術(shù)人士向筆者表示，AXON天機的指紋數(shù)據(jù)是存儲在其內(nèi)核芯片的TrustZone區(qū)域的，這個區(qū)域與Android系統(tǒng)及其他硬件環(huán)境“完全隔離”。所以，黑客即便攻破Android系統(tǒng)也是無法進入TrustZone獲取用戶的指紋圖像。

　　而在此前，華為也對其指紋識別功能做出了公開說明并稱其是一套基于芯片硬件的安全解決方案：指紋加密、存儲、校驗的程序是運行在海思芯片里物理隔離的安全OS中，安卓環(huán)境下的程序無法直接訪問，即使手機被root后，這部分仍然不能被訪問和篡改。同時，手機并不會保存指紋圖像，只保存經(jīng)過提取后的模板信息，通過指紋模板并不能還原出指紋圖像。