Android：指纹认证有大问题

腾讯实验室和浙江大学的研究人员揭示了一种名为“BrutePrint”的新攻击，该攻击针对现代智能手机，通过强制指纹绕过用户身份验证并控制设备。

对于 Android 智能手机来说，坏消息是，生物指纹认证将面临重大的安全问题，这将允许一些黑客绕过这种身份验证方法来访问您的设备。感谢腾讯实验室和浙江大学的最新联合报告，我们现在知道可以使用“暴力”来解锁您的智能手机。

暴力攻击依赖反复尝试破解代码或密码并获得未经授权的访问。在这里，中国研究人员利用两个零日漏洞成功绕过了针对暴力攻击的智能手机保护措施：匹配失败后取消（CAMF）和锁定后匹配（错误）。

研究人员发现，指纹传感器串行外围接口（SPI）上的生物识别数据没有得到充分保护，使其容易受到中间人攻击（MITM），从而导致指纹图像被劫持。

要执行 BrutePrint 攻击，攻击者需要对目标设备进行物理访问，一个指纹数据库，可以从学术数据集或泄露的生物识别数据中获得，以及设备成本仅约 15 美元。与密码破解不同，指纹匹配使用基线，这允许攻击者操纵错误接受率 (FAR)，以便提高接受门槛并增加成功的机会。

利用 Android 缺陷，黑客能够注入校验和错误以提前中止身份验证过程，并执行无限次数的指纹尝试，设备不会记录失败。BrutePrint 攻击的最后一个要素涉及使用“神经风格传输”系统来转换数据库中的所有指纹图像，使它们类似于目标设备的传感器扫描，从而增加成功的机会。

iOS 智能手机对这些攻击的抵抗力更强

研究人员在十种 Android 和 iOS 设备上进行了实验，发现它们都容易受到至少一个缺陷的影响。虽然 Android 设备允许无限次的指纹尝试，事实证明，iOS 设备在防止暴力攻击方面更加强大。

BrutePrint 引发了人们对设备安全和隐私的担忧。虽然攻击需要长时间访问目标设备，它对窃贼和执法部门来说很有价值，因为它可能允许犯罪分子解锁被盗设备并提取私人数据。在调查中使用这些技术也提高了道德问题并可能侵犯隐私权。