FireEye利用Android漏洞破解Galaxy S5指紋辨識系統

資安業者FireEye在本周舉行的RSA安全會議上揭露了一個位於Android平台上的安全漏洞，並以三星的Galaxy S5手機來示範如何取得使用者的指紋。

有愈來愈多的行動裝置嵌入指紋掃描器，並以指紋取代使用者的密碼輸入以確認使用者的身份。除了已有駭客藉由偽造指紋來破解指紋辨識系統，FireEye還公布了其他可能的攻擊手法，其中之一是透過平台漏洞來掌控裝置的指紋掃描器。

FireEye研究人員在接受Forbes採訪時表示，一旦駭客能夠攻陷行動平台的核心，那麼就算無法存取儲存於可信賴區域（trusted zone）的指紋數據，還是能隨時讀取平台上的指紋感應器，當使用者觸碰到指紋感應器時，駭客就能竊取使用者的指紋。

FireEye說，如果密碼外洩了，只要換一組新的就好，但萬一指紋外洩了，就永遠外洩了，將會是一場災難。

去年德國的安全研究實驗室（Security Research Labs，SRL）宣稱「破解」Galaxy S5指紋辨識系統，雖然SRL利用的是「低科技」方法，以照相手機拍下殘留在手機上的指紋再加以仿制並騙過指紋辨識系統。但也更加彰顯出指紋辨識系統在資安上的風險。誠如FireEye及SRL所說的，一旦指紋資訊遭竊，就幾乎沒有轉圜的餘地。

由於相關漏洞僅影響Android 5.0以前的版本（不包含Android 5.0），因此FireEye呼籲使用者應該要升級到安全的版本。三星方面則仍在研究相關的安全漏洞。（編譯/陳曉莉）