警惕！安卓指纹手机存在安全风险！

早前苹果展示iPhone 5s的Touch ID的时候，提到了一个重要的技术细节，就是用户的指纹图像会经过专有安全芯片的保护加密后再生成别的秘钥来实现认证，不会泄露用户指纹信息。这个技术细节当时没有引起很大反响，但让人觉得iPhone的Touch ID还是比较安全的。 而安卓生态的手机在指纹认证上似乎没有特别的安全措施亮点引起关注，随着安卓指纹手机的越来越多，大有普及之势，相比苹果在硬件和软件上的高度结合统一化，碎片化的安卓生态意味着用户的指纹安全可能存在风险。 在日前洛杉矶召开的黑帽安全技术大会上，FireEye公司研究员展示了如何利用系统安全漏洞攻击Android系统，从而顺利窃取用户指纹信息的方法。 据了解，该漏洞只是研究人员发现的四种攻击方式中的一种，只是其攻击方式尤为特殊。借助该漏洞，黑客可“直接攻击指纹传感器，远程大规模盗用指纹信息”。 FireEye公司用HTC两年前发布的明星机型One Max进行了演示，FireEye Labs表示，HTC One Max这款手机是以未加密、可直接读取的高分辨率位图图像来存储所扫描到的指纹数据的，这种方式显然存在重大的安全隐患。 据FireEye Labs介绍，HTC One Max将用户的指纹保存为/data/dbgraw.bmp文件，权限设置为0666---world readable，这是Android系统文件的一种存储方式，可被其他应用直接读取。这种权限设置意味着，任何进程都能够通过阅读该文件的方式窃取用户的指纹图像。 而且HTC One Max机型较老，对于指纹读取的逻辑也存在问题，它的指纹传感器会在用户每一次进行指纹识别时对现有的位图进行更新。这样一来，攻击者不费吹灰之力就能收集到受害者每一次的指纹扫描图像。随后，FireEye利用这些位图文件重建了指纹扫描图像，并利用它成功绕过了手机的安全系统。 FireEye公司还提出，HTC One Max并非是唯一一款未能有效保护用户指纹数据的手机，几乎所有Android系统手机都存在这一安全漏洞，例如三星Galaxy S5已经被确认存在类似问题。