指纹安全漏洞 绝不是HTC自己的丑闻

近来HTC并不太平,继手机爆出巨大指纹信息安全漏洞之后,公司又因糟糕的二季度财报和三季度预测,表示将全球裁员15%。这个结果其实很能说明一个问题,就是手机隐私的安全重要性已经不再只是宣传噱头,它已经上升到可以很大程度上影响品牌的信赖度。

 

 过去这些年,苹果和其它大量的安卓手机厂商都在致力于指纹识别的技术进步。这种技术毫无疑问是比传统的密码保护方式要进步许多,不过看完一个来自FireEye的研究机构报告结果之后,却着实让人大跌眼镜。据报告所说,很多安卓系统的手机安全性堪忧,很多情况下,只需将手机和电脑相连,就可以找到相关的文件夹把指纹信息轻松读取出来。

  这可是个很严重的问题,因为很多时候指纹识别是在支付过程中使用的。这个报告不仅发现了这个问题,还着重表达了对手机OEM厂商对指纹识别的安全性如此轻视的遗憾。因为在理论上来说,指纹信息应该与系统核心的安全级别至少是等同的。ARM的TrustZone技术是提供了额外的一层隔离保护,可问题就是有些OEM根本没把这当回事。

HTC One Max手机中储存的原始指纹位图和修正位图

  报告中举的例子很让人震惊:

  HTC,这个大家熟知的知名手机品牌,竟然将用户指纹信息储存在了/data/dbgraw.bmp文件中,且任何一个普通权限的程序都可以直接打开并浏览其内容。虽然其它的厂商会把指纹存储在TrustZone之中,但仍旧有黑客可以轻松获取其中的信息。HTC的漏洞造成的后果更糟糕,因为它是在每一次指纹识别成功后自动更新指纹信息到对应文件夹,所以其实相当于是黑客正坐在那里接受每一次最新的客户指纹信息。

nextpage

虽然只是HTC彻底轻视了指纹信息安全,并导致几乎所有人都可以进行信息窃取,但其实事情并不是到此结束。发生在所有安卓手机上的指纹信息威胁,已经让基于传感器的生物身份识别技术在大众心中大打折扣,潜意识中人们觉得这种方法其实也不保险。

  信赖单纯的一个指纹识别就能保证你和你手机的安全,这个想法本身就是错误的。比如在法庭上面,警察当然不能强迫你说出什么密码,但是却可以强制获取你的指纹,也就是说如果你的手机设置了指纹识别,那么不管你同不同意,陌生人总有办法让你的手机向他敞开。最理想的情况是将密码和指纹识别综合来保证安全,不过暂时貌似没有哪个厂家想推出这种方案。

合理的指纹信息处理过程

实际的指纹信息识别流程很容易被恶意软件钻了空子

  对比三星手机也有安全隐患,但它事后会公开说明事情原委,这当然比要在硬件和软件上下功夫升级要来得简单、省钱多了。可以这么做的原因,其实也是因为很少有人是看上哪个手机的安全性而去买它,就算是看重手机安全性而购买的那部分消费者,也不见得真把它当回事。

  很有意思的是电子厂商一边强调产品具备安全性能,另一方面在出事后却告诉消费者这其实没什么大不了的。HTC这件丑闻反响很大,日前宣布的缩紧财政并全球裁员,应该很大程度受此影响。

  众所周知这家厂商近来状况本就很难堪。不过三星倒是一点问题都没有,早前一个简单的键盘程序漏洞就轻松让6亿用户裸奔,三星也只是搪塞过去。后来还有索尼的rootkits事件,当然这些都不及联想预置的恶意广告程序包来得糟糕,不过谁能猜到后来还有惊世骇俗的Jeep汽车被黑客完全操控这件事呢。

  所以当前还是不要多相信什么电子防护措施能保证自己信息安全,这种问题还会持续很久,只有到厂商真正意识到电子产品的信息安全几乎比产品外形还重要的时候,可能才是你稍微可以放心的那天。当然,HTC应该对此深有感触。 

作者:西部车床,如若转载,请注明出处:https://www.lathe.cc/2022/09/7962.html