警方分析:揭秘充电桩入侵原理
【提醒】橘子皮能开指纹锁,充电能窃取你手机里的所有信息!
近日,网上一篇《一块橘子皮就能秒开你的手机指纹锁还能转账付款》的文章及视频引起了广泛的关注。
文章提到,对于需要指纹验证的手机,通过使用一些简单的处理手段,任何人的指纹都可以解锁,甚至一块橘子皮都能开启手机的指纹解锁。
https://v.qq.com/txp/iframe/player.html?vid=d053911mmw4&width=500&height=375&auto=0
▲视频来源:央视新闻客户端
小编注意到,央视新闻近日对这则新闻进行了报道和验证。
苏州一家科技公司的工作人员反复试验后发现,只要经过一定的处理,非机主也可以用自己的指纹解锁别人的手机。甚至连橘子皮、桂圆肉、餐巾纸这类物件,也能骗过手机传感器,实现指纹解锁。
对于现在的很多用户来说,指纹解锁不仅是快捷开启手机画面的一种方式,可能还能实现支付和转账等功能。如果指纹解锁真的有漏洞的话,那很多人的信息和资金安全可能要打上一个问号了。
据央视报道,目前工信部、质检总局已经介入调查。专家提醒,如果你的手机出现摔裂等情况,或者传感器上有贴膜等异物,那么需要注意指纹解锁可能出现的安全隐患。
▲图片来源:摄图网 (图文无关)
小编发现,国外多项研究也表明,指纹虽然是每个人独一无二的身份特征,但是针对目前手机普遍采取的指纹解锁设计,是可以找到办法破解的。
陌生的指纹也能解锁
据报道,来自安徽的小许手机摔到地上,导致指纹触摸键出现了裂纹。
令他诧异的是,之后其他人居然都可以用指纹解锁他的手机。不仅如此,小许手机里的一些需要指纹识别才能使用的支付应用,陌生的指纹同样可以通过验证并使用。
小许在电话采访中表示:
我手机不小心摔了一下,摔地上了,我看到那个上面有裂痕。我当时以为这个指纹功能可能用不了了。
然后我拿了用一下发现还是可以指纹解锁,还是可以一样用,支付宝指纹支付都可以。
第二天,我在班上玩手机,同学摸了下我手机解锁了,当时我就有点蒙。因为他第一次用我的手机,为什么他能解锁,然后后来试了一下就发现所有人都能解锁,发现(手机)支付什么都可以了。
随后,小许立即与手机厂商进行了联系,商家为小许屏蔽了指纹功能。
橘子皮、桂圆、餐巾纸都能解锁
苏州一家科技公司的技术人员看到网上视频,了解到此事后,在实验室模拟了手机指纹解锁的破解过程。
经过多次试验,他们发现即使手机在没有任何损坏的情况下,经过一些处理后,仍然可以破解指纹锁,哪怕是用一块橘子皮也可以通过验证。
▲图片来源:视频截图
央视记者联系到了技术人员请求现场验证,在实验室里,技术人员演示了这一破解过程。
在经过一些处理后,之前并没有录入指纹的记者,竟然能够解锁开机。随后,技术人员又将目前市面上一些主流品牌型号的手机逐一试验,记者在没有提前录入指纹的情况下,都一一将这些手机用自己的指纹成功解锁开机。
技术人员说,他们根据网上视频反映的手机指纹触摸键裂纹这个线索,进行了多次试验,发现破解指纹验证的关键在于指纹触摸键上的图案。
于是技术人员拿一小块儿胶布或市面上流行的指纹贴,背面用导电笔涂抹形成图案,贴到手机指纹验证的部位。只要机主的指纹触碰到这块胶布或者指纹贴,成功解锁开机几次后,别人便都可以随意开机了。
▲图片来源:摄图网 (图文无关)
技术人员认为,指纹传感器接收到的信息包含指纹贴上的导电涂层,并不完全是机主手指的指纹。而在进行指纹比对时,只要部分信息相同就能通过验证。因此只要经过处理,其他人的指纹同样能够验证通过。
清华大学自动化系副教授冯建江认为,之所以出现这样的漏洞,是因为传感器面积小的限制,手机采用的指纹识别技术,只需要部分信息相符就能通过,这和传统的公安刑侦、考勤和身份证等采用的指纹识别技术相比,验证并不严格。
指纹解锁存在安全漏洞
注意到,虽然指纹曾被认为是每一个人独一无二的生理特征,但根据多家外媒报道,目前主流品牌手机采用的指纹解锁技术,却存在着一定可被利用的安全漏洞。
纽卡斯尔大学研究人员发现,由于现代智能手机传感器面积较小,因此指纹解锁设计要保证机主解锁成功,就采取了妥协的原则:只要手指部分特征符合机主记录的指纹,就能解锁成功。
这样的设计原则,在方便了机主的同时,也增加了其他人而已破解指纹密码的机会。
普渡大学创新与科技中心(CITER)研究者认为,虽然指纹独一无二,但是在手指部分面积有着相似特征的人却很多。而且就像照片可以骗过面部识别一样,3D打印的手指模型也能解锁,只需要部分特征恰好与机主手指相似就行了。
▲3D手指模型 图片来源:CITER
有科学家甚至放言,如果他能做一个手套,每个手指模拟一种指纹模式,利用手机允许多次试验和只截取部分指纹的特点,他有把握用一副手套解锁全世界一半的iPhone。
日本研究人员更是发现,从一张比“剪刀手”姿势的旅游照里,有心人可以提取机主的部分指纹特征,从而做成指纹贴解锁手机。
手机充个电,个人信息就会被查个遍?
今天要说的这种充电方式
会严重泄露你的个人隐私
包括私密照片、通讯录信息、文件等
甚至还可以远程操控你的手机进行消费
详情请戳视频↓↓↓
现在一些公共充电桩设备,手机不仅可以免费充电,而且还不限时间。然而这免费的充电桩中却暗藏隐患:手机用户连接充电桩之后,自己的私人照片竟然被别人获取,甚至自己银行卡也被别人消费购买了电影票。
△不法分子利用充电桩远程操控充电者手机
充电桩会提示用户开启USB调试或信任该设备
用户点击同意使手机部分权限得到开放
(入侵的关键点是我们允许外部设备的接入)
(安卓手机 △USB调试功能谨慎打开)
以Android系统手机举例子,其实智能手机都有“USB调试模式”。借助电脑上的调试工具,运行指令就能操控手机。类似编程语言和说话的区别,你在用手机的过程中感觉只是点点屏幕,同样黑客也可以通过代码指令来完成所有操作。
当手机连接充电桩的数据线,背后连接的可能却是一台装有手机调试工具的电脑,黑客只要敲击相应的指令代码,就轻而易举夺去了手机的控制权。
苹果手机界面
虽然相对于开源的Android系统,封闭的iOS要牢靠很多,但也并不是完全没有风险。受信任的电脑可以和iOS设备同步,创建备份,以及访问设备上的照片、视频、通讯录和其他内容。反之如果不信任某一台电脑,它就被禁止访问您设备上的内容。
目前市面上也有Lightning接口的外置存储装置,如果选择信任设备就能读取照片应用中的内容,所以手机充电桩也能办到这样的事情。
目前所有智能手机的充电和数据接口都是统一的,也就是当你连上手机充电桩的数据线后,你不知道连的到底是充电头还是一台电脑的USB接口。
某些公共充电桩会诱导手机用户开启USB调试,实际上这就将手机的内部权限完全交给对方。
一旦点击开启,电脑、充电桩等与手机相连,即可不经同意,就为充电者偷偷安装手机软件、甚至是恶意程序。
如此,消费者手机中的支付账号、密码、身份证信息、联系人信息、照片等隐私信息均可能被不法分子恶意获取,进而盗刷手机用户的银行卡。
这有点像ATM里藏了个人,你往里面存钱他在里面数钱,不过用手机充电桩作掩护的黑客手法要比这高明得多。明面上你觉得只是在充电,但背地里你的照片已经被充电桩盗取,黑客还可以控制你的手机发短信,甚至获取验证码侵入支付应用。
其实不单只是充电桩连接充电时有可能被黑客入侵手机,盗取信息。即使你没有通过有线连接,黑客同样可以入侵你的手机。看看下面这段视频。
https://v.qq.com/txp/iframe/player.html?vid=u0015i4x2n0&width=500&height=375&auto=0
移动互联网时代,人们经常使用移动设备进行沟通、交流、金融交易,因此更要谨慎使用,避免泄露信息。
1. 手机接入手机充电桩时,如果充电桩需要权限请求,一律拒绝。(包括USB调试与设备信任)
2. 部分手机充电桩有提供插座,用随身携带的设备进行充电。
3. 部分手机充电桩只提供USB孔,如果遇到这类的手机充电桩,请使用只有充电功能(无数据传输功能)的充电线。
4. 使用手机充电桩时,将设备关机。
5. 一定要手机安装杀毒软件。手机要安装杀毒软件,并定期进行杀毒,避免受到木马攻击。
6. 公共场所免费WIFI很有可能被黑客利用来实施违法犯罪,如要使用公共免费WIFI,切勿在手机上操作登陆密码等信息,避免泄密。
7. 随身携带充电宝,尽量不要使用公用充电桩。
你这样充过电吗?
【刷屏】为了“蛙儿子”,这些玩家打起了“外挂”的主意,结果…手机变板砖!
来源:人民日报 平安南粤(ID:GDPPRB)
版权归原作者所有,向原创致敬。