你以為手機的指紋辨識很安全？FireEye安全專家告訴你：不！
有愈來愈多行動裝置具備指紋掃描與辨識功能，根據Capsule的估計，到了2019年全球的智
慧型手機出貨量中將有一半內建指紋掃描器。然而，資安業者FireEye卻擔心，不夠安全的
指紋辨識生態環境將讓此一終身可驗證的使用者身份機制比密碼還要危險許多，並在上周
舉行的黑帽大會（Black Hat 2015）上展示各種攻擊技法。
FireEye認為，現代的行動裝置在針對指紋的安全防護機制有所不足，從而導致指紋外洩的
風險，包括混淆授權攻擊（Confused Authorization Attack）、指紋資料儲存漏洞、指紋
掃描器曝露漏洞，以及預載的指紋後門等。而假使未來駭客有能力從遠端大量取得指紋，
那麼這恐怕將成為資安上的一場大災難！
所謂的混淆授權攻擊是讓使用者分不清楚所授權的指紋辨識用途，FireEye研究人員設計了
一個應用程式來假冒手機的鎖機畫面，然後要求使用者利用指紋解鎖，但事實上該指紋是
用來執行金錢交易的憑證。
在指紋資料儲存漏洞方面，例如FireEye就發現HTC One Max上的指紋資料是以所有人都可
存取的BMP圖檔儲存，雖然圖檔內容遭到變更，但駭客仍能輕易重組成正確的指紋圖片，
意味著並非所有業者都能妥善儲存使用者的指紋資料。HTC在獲得FireEye的通知後已修
補了該漏洞。
當中最危險的可能是手機指紋掃描器的漏洞。ARM的安全架構設計允許業者隔離某些重要的
設備，但大多數製造商卻未使用此一功能來保護指紋掃描器，使得駭客有機會存取指紋掃
描器，透過惡意程式於背景持續接收來自該掃描器的資訊。研究人員並成功地在HTC Max
One與Samsung Galaxy S5上取得指紋掃描器的存取權，每當掃描器運作時就能取得指紋資
訊。不過HTC與三星皆已修補相關漏洞。
在此一攻擊場景中，蘋果的Touch ID相對安全，主因為蘋果加密了所有自指紋掃描器傳出
的資料，就算駭客能夠讀取掃描器，但也必須取得加密金鑰才能獲得指紋影像。
駭客還可在手機未交到使用者手上前便嵌入指紋後門，加入自己的指紋資訊，以自己的指
紋充當該裝置的憑證。
早就有不少的資安業者針對生物辨識認證機制提出警告，指出在密碼時代，當密碼外洩時
，只要重新設定一個新密碼即可，但指紋外洩卻是更大的災難，因為指紋代表了使用者的
身份，從犯罪記錄、出入境紀錄，到銀行憑證等。FireEye建議，所有的平台都應改善指
紋認證框架以強化對指紋資料及指紋掃描器的保護，也建議使用者定期更新裝置並避免
從不安全的來源安裝程式。（編譯/陳曉莉）
iThome
http://www.ithome.com.tw/news/98012