iPhone6的TouchID存在漏洞, Apple Pay存安全隱患
責編:admin |2014-09-25 20:05:20蘋果的iPhone 6 上市沒有幾天,安全研究公司Lockout就發現,iPhone 6與iPhone 5S一樣, 它的TouchID 指紋識別存在漏洞, 黑客可以創建一個虛假的指紋來瞞過TouchID的指紋傳感器。 Lockout發現,無論iPhone 6 還是iPhone 6+ 都存在這樣的漏洞。
德國的Chaos Computer Club在去年發現了iPhone 5S的漏洞, 他們可以采集用戶的指紋(比如玻璃上的指紋), 取得指紋的圖像,打印在薄膜上, 用木膠水保持濕度,就可以做出一個假指紋來瞞過TouchID的指紋傳感器了。 具體步驟可以參考這里
Lockout的研究人員利用這一原理, 發現盡管蘋果在推出iPhone 6時還推出了基于TouchID的 Apple Pay。 但是無論iPhone 6 還是iPhone 6+ 依然存在著上述漏洞。
Lockout的研究人員Marc Rogers說:“很遺憾, 在過去的一年里,蘋果在這方面基本沒有改進。 用去年用于iPhone 5S的攻擊技術, 對今年新出的兩個設備依然有效。”
“此外,蘋果并沒有提供額外的安全設置, 比如設置給TouchID設置時間,超過后必須輸入密碼之類的。 TouchID的傳感器的最大變化在于傳感器由于采用了高分辨率掃描而變得更加靈敏了。”
Lockout的研究人員建議蘋果的支付應該采用密碼加上指紋的雙因素認證方式。 蘋果也許認為用戶更加看重支付方式的便利性, 但是安全風險無疑是人們無法承擔的。
當然, Marc Rogers指出, 這樣的攻擊需要很多技巧,耐心以及采集到一個完整良好的用戶指紋, 這對于一般的犯罪分子來說也相當困難。 不過,即便如此, 如果有組織犯罪集團針對特定用戶的話,還是很有可能成功的。
事實上, 指紋識別作為生物特征識別的安全認證方式, 一直存在著安全方面的爭議。 本月, 英國的巴克萊銀行就宣布要在企業用戶中采用“手指靜脈掃描“的認證方式。