一二三四在线视频观看社区,欧美大屁股xxxx,狠狠色丁香婷婷久久综合,日韩熟女精品一区二区三区,国产三级做爰在线观看∵

機器之心報道

(資料圖片)

編輯：澤南

無需任何前提，最快 40 分鐘破解。

在智能手機上，我們早已習慣了指紋解鎖，它可以省去輸入密碼的時間，看起來也更加安全，刷指紋是很多支付認證支持的方式。

然而最近的研究表明，指紋解鎖并沒有你想的那么安全，破解它的方式甚至還包括「最原始」的暴力破解。上個星期，騰訊安全玄武實驗室和浙江大學的研究人員提出了一種名為「BrutePrint」的攻擊方式，該攻擊通過暴力破解現(xiàn)代智能手機上的指紋來繞過用戶身份驗證并控制設(shè)備。

以前，暴力攻擊通常是指破解代碼、密鑰獲得對帳戶、系統(tǒng)或網(wǎng)絡(luò)的未授權(quán)訪問的多次反復試驗。但在 BrutePrint 的新論文中，研究人員設(shè)法找到了利用兩個零日漏洞，即 Cancel-After-Match-Fail（CAMF）和 Match-After-Lock（MAL）的方法。

論文鏈接：https://arxiv.org/abs/2305.10791

此外，研究人員還發(fā)現(xiàn)，指紋傳感器的串行外設(shè)接口（SPI）上的生物識別數(shù)據(jù)沒有得到充分保護，可以讓中間人 ( MITM ) 攻擊劫持指紋圖像。

研究團隊嘗試用 BrutePrint 和 SPI MITM 對十種流行的智能手機型號進行攻擊，在所有安卓和 HarmonyOS 設(shè)備上實現(xiàn)了無限次嘗試，而在 iOS 設(shè)備上實現(xiàn)了十次額外嘗試。

BrutePrint 工作原理

BrutePrint 的思路是向目標設(shè)備輸出無限次指紋圖像提交，直到匹配到用戶定義的指紋。

攻擊者需要對目標設(shè)備進行物理訪問以發(fā)起 BrutePrint 攻擊，輸入內(nèi)容可以包括學術(shù)數(shù)據(jù)集或生物識別數(shù)據(jù)泄漏中獲取的指紋數(shù)據(jù)庫。當然，這種攻擊也有必要的硬件設(shè)備，成本約為 15 美元。

與密碼破解的工作方式不同的是，指紋匹配時參考的是閾值而不是特定數(shù)值，因此攻擊者可以操縱錯誤接受率（FAR）來提高接受閾值并創(chuàng)建匹配。

BrutePrint 介于指紋傳感器和可信執(zhí)行環(huán)境（TEE ) 之間，利用 CAMF 漏洞來操縱智能手機指紋認證的多重采樣和錯誤消除機制。因此不論是光學還是超聲波指紋，在破解上都沒有區(qū)別。

CAMF 在指紋數(shù)據(jù)中注入校驗和錯誤，以在手機安全機制阻止之前停止身份驗證過程。這允許攻擊者在目標設(shè)備上多次嘗試刷指紋，而手機保護系統(tǒng)不會記錄失敗的嘗試，因此可以做到無限次嘗試。

另一方面，MAL 漏洞使攻擊者能夠推斷他們在目標設(shè)備上嘗試的指紋圖像的身份驗證結(jié)果，即使后者處于「鎖定模式」。

鎖定模式是在一定次數(shù)的連續(xù)解鎖嘗試失敗后激活的保護系統(tǒng)。在鎖定「超時」期間，設(shè)備不應接受解鎖嘗試，但 MAL 有助于繞過此限制。

BrutePrint 攻擊的最后一個組成部分是使用「神經(jīng)風格遷移」系統(tǒng)，訓練一個 AI 模型（CycleGAN 將數(shù)據(jù)庫中的所有指紋圖像轉(zhuǎn)換為看起來像是目標設(shè)備的傳感器掃描的版本。這使用于攻擊的圖像效果更好，獲得了更高的成功機會。