(资料图片)

近日，腾讯安全玄武实验室和浙江大学的研究人员在论文《BrutePrint：暴露智能手机指纹认证的暴力攻击》中，披露了一种针对安卓和鸿蒙手机指纹识别的新攻击方法。

研究人员对10款常见的智能手机进行了测试，其中包括6款安卓手机、2款华为鸿蒙手机以及2款iPhone。测试结果显示，所有安卓和鸿蒙设备都至少存在一个允许入侵的漏洞，可以被无限次暴力破解。而iOS设备由于防御机制更严格，只能被额外尝试10次（共15次）。

据了解，该方法利用了两个零日漏洞和指纹传感器的串行外设接口（SPI）上的生物识别数据保护不足，可以无限次提交指纹图像，通过暴力穷举的方式破解指纹识别。

研究人员建议，用户尽量避免在手机上录入多个指纹信息，并使用其他形式的身份验证方式，如密码、PIN码或面部识别。同时，他们也呼吁智能手机厂商加强对指纹传感器和生物识别数据的保护，并及时修复相关漏洞。

对此，华为回应称，文中提及的漏洞已于2021年12月份完成修复并推送安全补丁，相关问题已解决。

值得一提的是，该论文中涉及华为的测试机型为Mate30 Pro 5G以及P40，鸿蒙系统版本为“HarmonyOS 2”，而最新鸿蒙系统版本已更新至“HarmonyOS 3”。

责任编辑：