德國的安全研究實驗室(Security Research Labs,SRL)在YouTube上發表了一段影片,展示如何破解三星最新出爐的Galaxy S5智慧型手機上的指紋辨識系統。
嚴格來說這並非破解Galaxy S5的指紋辨識系統,而是偽造了使用者的指紋,但也彰顯出指紋辨識系統如何不可靠。
SRL是透過照相手機拍下螢幕上殘留的指紋以用來偽造指紋,此一假指紋除了可直接用來作為存取螢幕首頁的憑證外,甚至也能在支援指紋辨識的PayPal程式中轉帳。SRL的手法與歐洲駭客集團Chaos Computing Club(CCC)在去年破解iPhone 5S指紋辨識系統所使用的方式雷同。
外界分析指出,雖然不論iPhone 5S或Galaxy S5的指紋辨識系統都能如此破解,但iPhone 5S相對安全,這是因為iPhone 5S在指紋之外還會要求使用者輸入密碼,開機也需要密碼,屬於雙因素認證系統,然而Galaxy S5並沒有同樣的保護措施。
PayPal則發表聲明表示,即使他們很認真地看待SRL的發現,但還是相信比起密碼或信用卡,在行動裝置上付款時指紋辨識認證仍是更容易也更安全的機制。
SRL則呼籲,以指紋辨識來取代密碼並不安全。一是使用者可能會到處留下可被複製的指紋,其次是一旦指紋遭竊,就幾乎沒有轉圜的餘地。此外,不只是智慧型手機,其他採用指紋作為主要憑證的裝置也同樣不可靠。SRL亦建議指紋可用來作為第二個或第三個憑證,以加強保護,只是不宜作為單一憑證。(編譯/陳曉莉)
熱門新聞
2024-10-14
2024-10-13
2024-10-14
2024-10-13
2024-10-14
2024-10-14