黑客可远程从Android手机窃取指纹 三星华为HTC中招

　　三星智能手机指纹传感器

　　北京时间8月7日消息，据科技网站ZDNet报道，指纹可能不像人们想象的那样安全。周三在黑帽技术大会（Black Hat conference）上，安全厂商FireEye研究人员魏涛（Tao Wei,音译）和张宇龙（Yulong Zhang，音译）披露了攻击Android设备，获取用户指纹的新方法。

　　这一威胁目前主要局限于配置有指纹传感器的Android设备，例如三星、华为和HTC的设备，这类设备销量与iPhone相比较低。但是，预计到2019年将有至少半数智能手机配置指纹传感器，这一威胁的危害会增加。

　　张宇龙通过电子邮件向ZDNet表示，在研究人员披露的四种攻击中，一种名为“指纹传感器间谍攻击”的攻击能“远程大规模获取用户指纹”。

　　这种攻击在HTC One Max和三星Galaxy S5上得到了证实，由于厂商没有完全锁死指纹传感器，黑客可以从受影响的设备中秘密获取用户的指纹图像。

　　雪上加霜的是，只需“system”权限而不是“root”权限，即可访问部分设备上的指纹传感器，使黑客更容易得手。一旦攻击得手，黑客能继续悄悄获取使用传感器的任何用户的指纹。

　　张宇龙表示，“在这种攻击中，指纹数据会直接落入黑客之手，黑客可以出于恶意目的使用用户的指纹数据。”这是一个严重的问题。指纹可能被广泛用于移动支付和解锁设备，过去5年，指纹更多地被用于身份认证、移民和犯罪记录方面。

　　在接到研究人员的通报后，受影响的厂商已经发布了补丁软件。

　　研究人员没有就哪家厂商的设备更安全发表评论。但张宇龙指出，苹果iPhone“相当安全”，它在扫描器中对指纹数据进行加密，“即使能直接读取传感器数据，如果没有密钥，黑客仍然无法获得指纹图像”。

　　这一问题不仅仅只影响移动设备。研究人员指出，这种攻击也适用于带有指纹传感器的笔记本。研究人员建议用户使用定期更新的设备，只安装来源可靠的应用。