在安全和易用性上����,智能手機(jī)制造商必須保持微妙的平衡。例如����,最新的手機(jī)許多都安裝了生物指紋閱讀器,但是它是否安全卻一直存在爭(zhēng)議:到底指紋識(shí)別讓手機(jī)更安全了���,還是更不安全了���,這是一個(gè)復(fù)雜的問(wèn)題。
為手機(jī)添加指紋閱讀器���,你就沒(méi)有必要每天輸入50次密碼了�����,數(shù)字支付也變得更加簡(jiǎn)單����。為了讓用戶養(yǎng)成移動(dòng)支付的習(xí)慣�,三星、蘋(píng)果等設(shè)備制造商知道首先要做的就是讓處理方式變得簡(jiǎn)單起來(lái)�����,就跟刷信用卡一樣簡(jiǎn)單����。如果用戶每次都需要輸入密碼,使用Visa卡肯定不方便�。
用戶不必輸入密碼,甚至不必喚醒手機(jī)����,就可以完成移動(dòng)支付。在iPhone上���,用戶只需要將拇指放在指紋閱讀器上�����,將手機(jī)靠近店鋪支付掃描儀就能完成支付����。在Galaxy S7上,用戶手指滑過(guò)Home按鈕���,然后執(zhí)行指紋操作����,將手機(jī)靠近支付掃描儀就行了��。沒(méi)有必要輸入密碼�。
問(wèn)題在于指紋認(rèn)證技術(shù)可能沒(méi)有密碼安全!例如,執(zhí)法者可以輕易克服指紋識(shí)別技術(shù)����,雖然他們的做法是合法的。警方可以強(qiáng)迫嫌疑犯用指紋解鎖iPhone����,方便查找證據(jù)�,但是它們無(wú)法強(qiáng)迫他人交出密碼���。
密碼和TouchID怎么工作的?
智能手機(jī)商為智能手機(jī)引入了新的進(jìn)入模式�,但同時(shí)也為黑客留下另一個(gè)攻擊點(diǎn)�。如果黑客拿到了指紋的數(shù)字、數(shù)學(xué)復(fù)制樣本�����,就可以進(jìn)行各類破壞活動(dòng)���。安全專家皮特 付(Peter Fu)稱:“黑客可以解鎖服務(wù),比如個(gè)人郵箱����、網(wǎng)絡(luò)密碼等。”
2013年蘋(píng)果推出iPhone 5s�����,首次使用了TouchID指紋識(shí)別技術(shù)�。當(dāng)時(shí)蘋(píng)果宣稱TouchID可以大大提高安全性,因?yàn)橛脩粼僖膊槐貫槭謾C(jī)設(shè)定安全密碼了��。但是對(duì)于當(dāng)前以及未來(lái)的大多用戶來(lái)說(shuō),用指紋進(jìn)入手機(jī)更像是一種妥協(xié)��,為了方便犧牲了安全���。
iPhone的密碼是怎樣工作的呢?當(dāng)iPhone進(jìn)入省電模式或者開(kāi)始休眠時(shí)�����,它自動(dòng)生成加密密鑰��,只有解密密鑰才能重新打開(kāi)���,解密密鑰就是用戶的密碼。在iOS 8之前���,解密密鑰存儲(chǔ)在用戶的設(shè)備和蘋(píng)果手中�。從iOS 8之后���,解密密鑰只存儲(chǔ)在用戶的設(shè)備中�。
最新的iPhone將用戶密碼存儲(chǔ)在安全“飛地”中���,也就是在手機(jī)的處理器上開(kāi)辟一塊空間專門存儲(chǔ)密碼�����。當(dāng)輸入的密碼正確時(shí)�����,手機(jī)會(huì)在處理器和OS之間建立一條連接通道���。換句話說(shuō)�,手機(jī)就會(huì)解鎖����,所有內(nèi)容出現(xiàn)在眼前���。
安全“飛地”還存儲(chǔ)了用戶獨(dú)特指紋信息的數(shù)字表達(dá)式��,它是一串?dāng)?shù)字���,有點(diǎn)像密碼。當(dāng)傳感器上的用戶指紋和數(shù)字相符���,就會(huì)在芯片和OS之間建立聯(lián)系��。如果要獲得密碼�,唯一的辦法就是進(jìn)行蠻力破解,也就是嘗試每一種可能的組合���。如果嘗試10次都失敗了��,要么手機(jī)會(huì)被鎖定�,要么內(nèi)容會(huì)自動(dòng)擦除�����。
攝像頭也是安全隱患
研究人員可以竊取一個(gè)人的指紋�,用橡膠制作復(fù)制品欺騙手機(jī),這點(diǎn)已經(jīng)演示過(guò)��。需要指出的是這種方法的可靠性存在疑問(wèn)���。操作很困難���,很費(fèi)時(shí)間,除非進(jìn)入目標(biāo)手機(jī)獲得的回報(bào)足夠大�����,否則竊賊不會(huì)去嘗試。
到底是密碼系統(tǒng)容易被攻破���,還是指紋識(shí)別系統(tǒng)?目前還存在爭(zhēng)議��。由于手機(jī)提供了2種選擇�,結(jié)果使得黑客的攻擊面擴(kuò)大了1倍����,這點(diǎn)倒是沒(méi)有爭(zhēng)議的。
在當(dāng)今的市場(chǎng)上��,安裝指紋掃描儀的不只是蘋(píng)果����、三星手機(jī)��。谷歌Nexus手機(jī)也安裝了����,還有華為、HTC���、一加及其它手機(jī)��。事實(shí)上�,為了追求方便,我們不單單在指紋安全上作了妥協(xié)��,還有其它地方�����。
例如��,iPhone允許用戶直接使用手機(jī)攝像頭�,不需要密碼或者指紋。用戶只需要點(diǎn)擊鎖定屏幕右下方的攝像頭圖標(biāo)就可以了���。三星高端手機(jī)也有相似的功能���。在鎖定狀態(tài)時(shí),用戶還可以雙擊Home按鈕啟動(dòng)拍照功能�����。抓拍時(shí)這個(gè)功能的確很方便�,但是它也為攻擊提供了機(jī)會(huì):黑客可以直接入侵?jǐn)z像頭,甚至還可能控制攝像頭。
還有很多不安全的地方:iPhone自動(dòng)與熟悉的Wi-Fi網(wǎng)絡(luò)同步��,不需要批準(zhǔn)����,自動(dòng)下載更新APP。黑客可以利用APP層面的安全漏洞和硬件層面的安全漏洞炮制新的攻擊手法入侵手機(jī)����。
“例如,大多的智能手機(jī)攝像頭都允許不輸入用戶密碼使用少數(shù)功能�,包括拍照和錄制視頻。”安全專家皮特 付(Peter Fu)解釋說(shuō)�����,“不只如此�,許多社交媒體應(yīng)用要求用戶授權(quán)攝像頭使用權(quán)限,只有這樣才能連接到APP�����。黑客可以尋找辦法入侵目標(biāo)手機(jī)的APP����,他可以利用APP獲得攝像頭的權(quán)限,進(jìn)而控制設(shè)備的攝像頭功能����。”
問(wèn)題并不嚴(yán)重
為了追求易用性犧牲安全性的確帶來(lái)一些問(wèn)題,但我們不要夸大其事����。蘋(píng)果可以造一臺(tái)手機(jī),使用50個(gè)字符作為密碼����,將它作為唯一的身份驗(yàn)證模式,這樣的確非常安全��,但是沒(méi)有人會(huì)購(gòu)買�����。
安全專家皮特 付(Peter Fu)指出��,在追求方便時(shí)做出妥協(xié)留下了一些安全漏洞�����,但是這些漏洞大多是理論上可能存在的�����,目前還存在疑問(wèn)。例如��,安全專家花了許多時(shí)間和精力試圖證明指紋閱讀器并不安全�,但是破解并沒(méi)有大規(guī)模出現(xiàn)。在街上偷手機(jī)的小偷也不可能大費(fèi)周章去破解���。
幾乎任何安全措施都可以被攻破���。圍繞加密后門的問(wèn)題,蘋(píng)果與FBI大戰(zhàn)一場(chǎng)��,政府部門要求蘋(píng)果破解San Bernardino槍擊案兇手塞義德 法魯克(Syed Farook)的iPhone 5c���。為什么?部分是因?yàn)榉斂说氖謾C(jī)很難破解�����,他使用了主流的身份驗(yàn)證功能——4位數(shù)字密碼���。蘋(píng)果沒(méi)有配合,但最終FBI還是找到辦法進(jìn)入手機(jī)����。
在長(zhǎng)達(dá)幾個(gè)月的爭(zhēng)論中,蘋(píng)果試圖證明安全和隱私是一個(gè)大問(wèn)題����。從蘋(píng)果的聲明中我們可以發(fā)現(xiàn),即使是小小的安全漏洞也可能會(huì)威脅無(wú)數(shù)臺(tái)iPhone�����。在產(chǎn)品的安全需求和易用性上需要做出平衡�,蘋(píng)果的選擇值得注意。
來(lái)源:XXX(非中文科技資訊)的作品均轉(zhuǎn)載自其它媒體���,轉(zhuǎn)載請(qǐng)尊重版權(quán)保留出處�,一切法律責(zé)任自負(fù)����。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議�����,請(qǐng)謹(jǐn)慎對(duì)待��。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)�。
如發(fā)現(xiàn)本站文章存在問(wèn)題,提供版權(quán)疑問(wèn)����、身份證明、版權(quán)證明�、聯(lián)系方式等發(fā)郵件至news@citnews.com.cn。
京公網(wǎng)安備 11010502041587號(hào)