iPhone6的TouchID存在漏洞, Apple Pay存安全隐患
作者:星期四, 九月 25, 20141

Touch-ID-hack

苹果的iPhone 6 上市没有几天,安全研究公司Lockout就发现,iPhone 6与iPhone 5S一样, 它的TouchID 指纹识别存在漏洞, 黑客可以创建一个虚假的指纹来瞒过TouchID的指纹传感器。 Lockout发现,无论iPhone 6 还是iPhone 6+ 都存在这样的漏洞。

德国的Chaos Computer Club在去年发现了iPhone 5S的漏洞, 他们可以采集用户的指纹(比如玻璃上的指纹), 取得指纹的图像,打印在薄膜上, 用木胶水保持湿度,就可以做出一个假指纹来瞒过TouchID的指纹传感器了。 具体步骤可以参考这里

Lockout的研究人员利用这一原理, 发现尽管苹果在推出iPhone 6时还推出了基于TouchID的 Apple Pay。 但是无论iPhone 6 还是iPhone 6+ 依然存在着上述漏洞。

Lockout的研究人员Marc Rogers说:“很遗憾, 在过去的一年里,苹果在这方面基本没有改进。 用去年用于iPhone 5S的攻击技术, 对今年新出的两个设备依然有效。”

“此外,苹果并没有提供额外的安全设置, 比如设置给TouchID设置时间,超过后必须输入密码之类的。 TouchID的传感器的最大变化在于传感器由于采用了高分辨率扫描而变得更加灵敏了。”

Lockout的研究人员建议苹果的支付应该采用密码加上指纹的双因素认证方式。 苹果也许认为用户更加看重支付方式的便利性, 但是安全风险无疑是人们无法承担的。

当然, Marc Rogers指出, 这样的攻击需要很多技巧,耐心以及采集到一个完整良好的用户指纹, 这对于一般的犯罪分子来说也相当困难。 不过,即便如此, 如果有组织犯罪集团针对特定用户的话,还是很有可能成功的。

事实上, 指纹识别作为生物特征识别的安全认证方式, 一直存在着安全方面的争议。 本月, 英国的巴克莱银行就宣布要在企业用户中采用“手指静脉扫描“的认证方式。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章