科技网

当前位置: 首页 >互联网

騰訊安全玄武實驗室首次公開安卓殘跡重用重

互联网
来源: 作者: 2019-05-22 16:42:20

10月24日,在上海召開的GeekPwn2018國際安全極客大賽上,騰訊安全玄武實驗室披露了在安卓中普遍應用的屏下指紋技術的嚴重漏洞殘跡重用漏洞。這一漏洞源頭并不是廠商,而是屏下指紋芯片廠商,屬于屏下指紋技術設計層面的問題,會幾乎無差別地影響所有使用屏下指紋技術的設備。利用該漏洞,攻擊者只需一秒鐘就可解鎖。騰訊安全玄武實驗室在今年初就開始通過和廠商及上游芯片供應鏈的協作聯動,修復了該漏洞。

(腾讯安全玄武实验室负责人于旸披露漏洞原理)

公开,残迹重用技术漏洞影响触屏解锁型安卓

近年来,随着对大屏占比的追求,窄边框愈来愈受消费者的欢迎,全面屏逐渐成为主流机型的标配。2018年1月以来,各厂商开始在产品中引入兼顾视觉性与便利性的屏下指纹解锁功能。多款使用屏下指纹技术的一经发布便赢得了消费者的喜爱。此次腾讯安全玄武实验室披露的残迹重用技术漏洞,是对屏下指纹安全性研究的重要发现。

在2018GeekPwn现场,腾讯安全玄武实验室向大家表露了漏洞的技术原理。上一代指纹解锁功能大多使用电容原理,利用人体导电的特性取得指纹的凹凸信息。而目前的屏下指纹解锁功能则是利用光学技术捕捉用户的指纹影像。玄武实验室在研究中发现,通过反射体欺骗的方法,可以利用屏幕上残余的指纹痕迹,让屏下指纹传感器认为的主人正在使用指纹验证。利用这类攻击方式,只要一秒钟即可解锁。玄武实验室将该漏洞正式命名为残迹重用漏洞。

据腾讯安全玄武实验室介绍,该漏洞属于屏下指纹技术在设计层面的问题,而非某款的问题。乃至不同国家和地区不同厂商开发的屏下指纹芯片和识别算法,都存在同样的问题。因此,该漏洞的影响范围波及市面上所有使用该技术的安卓。不过用户没必要过分担心,腾讯安全玄武实验室早在今年初就开始和国内几家主流厂商合作,不但通过更新算法修复了已上市中的漏洞,还将相干解决信息提交给相干芯片厂商,推动了供应链层面的安全修复。

腾讯安全玄武实验室负责人于旸(TK教主)表示,该漏洞和玄武实验室于2015年发现的针对条码阅读器的BadBarcode漏洞一样,都属于设计层面的漏洞。这类漏洞数量不多,但影响深远,且难以发现。如果不能在相关技术发展的早期发现问题,而是等技术广泛使用后再处理,就要花费极其高昂的代价,甚至不能完善解决。几年前发现同类设计层面漏洞BadBarcode时,玄武实验室就意识到过去二十年间所有条码阅读器厂商的大部分产品可能都存在该问题,所以想彻底消除BadBarcode漏洞的影响是几乎不可能的。而这次屏下指纹残迹重用漏洞发现早、解决早,在该技术刚投入使用时就被玄武实验室发现,并和厂商一道,推动上游供应链的修复,确保了后续使用该技术的和其它设备的安全,极大地降低了负面影响。

深化合作,安全团队与硬件厂商建立良性互动

面对移动安全时代新的漏洞威胁,于旸认为,需要厂商、应用开发商、络安全研究者等多方携手,共同重视,用新的移动安全思惟应对移动安全问题。加强协作,共同维护行业生态的移动安全新思维也取得了业界的广泛认可与响应,此次屏下指纹残迹重用漏洞的修复过程,正是厂商协作联动的典型案例。

近几年,秉持着开放、合作的态度,腾讯安全玄武实验室不断加强与产业链上游厂商的联动,邀请厂商、硬件厂商一同参与到安全业态的共建中来。同时,加强本身能力的输出,为厂商提供基础安全的协助,联合业界力量,提早发现和解决安全问题,逐步与全球主流硬件厂商、相关企业建立了良性互动关系。2018年1月,腾讯安全玄武实验室正式提出玄武支援计划,旨在加强行业自查,深化与厂商的联动,帮助厂商及时修复安全漏洞,共同推动行业安全问题的解决。

作为腾讯安全七大实验室矩阵之一,腾讯安全玄武实验室在业内素有漏洞挖掘机称号。今年初,玄武实验室表露了影响国内大量安卓APP的运用克隆攻击模型,通过CNCERT(国家互联应急中心)向APP厂商通报了该情况,并给出修复方案。在此之前,和残迹重用同类型的技术层面漏洞BadBarcode因揭示了影响整个行业的存在了近二十年的重大安全隐患,得到国际安全界的广泛关注和称赞,玄武实验室因此荣获 WitAwards年度研究成果奖。

于旸表示,腾讯安全玄武实验室将延续加强与业界和厂商的联动,深耕漏洞研究,输出本身的安全能力,与第三方厂商共同筑造安全防线。

哈登锁定本赛季场均35分7助攻NBA历史NBA字母哥给我们带来不只是比赛盛宴还有主动上货架球哥首度回应下赛季计划字字都透

周海媚《杨门女将》遭围攻 杨五娘战袍造型首曝光-饿狼谷-周海媚
陈冰最新机场造型曝光 黑色LOOK也能拗出清新感
百人聚餐食品48小时留样

相关推荐