安卓/鸿蒙系统出现重大安全漏洞 指纹识别可被轻松破解

　　近日，腾讯安全玄武实验室和浙江大学的研究人员共同发表了一篇新的论文，在这篇论文之中揭示了一种全新的指纹攻击方法。这种攻击方法叫做“BrutePrint”，这种攻击能够暴力破解安卓智能手机上的指纹识别功能，绕开手机指纹识别的次数限制，从而无限次地进行指纹图像提交，通过穷举的方式来破解指纹识别功能。

　　在这篇论文中写道，这项名为“BrutePrint”的攻击需要对目标手机进行物理访问，并且需要使用一个价值15美元的设备，通过串行外设接口与指纹传感器进行通信。再利用从数据库中获取的指纹信息，攻击者不断尝试使用数据库中不同的指纹图像，直到匹配成功。

　　能进行无限次的指纹尝试，主要还是因为研究人员发现了Cancel-After-Match-Fail（CAMF）和Match-After-Lock（MAL）两个零日漏洞，成功绕过了指纹识别的次数限制，从而破解了指纹。值得注意的是，在本次实验中，研究人员使用了10款设备进行破解测试，其中包括6款安卓手机，2款鸿蒙手机以及2款iPhone。测试数据显示，所有设备在指纹识别的安全性上都存在缺陷，但是只有iPhone不能被无限次暴力破解，而安卓和鸿蒙设备都能够被成功破解。