首页 / 行业

指纹识别技术存在漏洞 Android和iOS设备比较容易受到攻击

2019-05-27 11:51:00

自从有了指纹识别，我们在为移动设备解锁、登录账号，甚至线上支付时，都无需再输出繁琐的密码，更不用担心忘记了那些不常使用的密码。然而，在便捷的同时，指纹识别也可能置你于“危险”境地。究竟怎么回事呢？

近日，有外媒报道称一项新的设备指纹识别技术，可以利用出厂时设置的详细传感器校准信息，跟踪互联网上的Android和iOS设备，使得任何应用或网站都可以在没有特殊权限的情况下获取这些信息。

据了解，该新技术被称为校准指纹识别攻击（或Sensor ID），通过使用iOS上的陀螺仪和磁力计传感器的校准细节来实现，同时也可以使用Android设备上的加速度计、陀螺仪和磁力计传感器的校准细节。

根据来自英国剑桥大学的一个研究小组表示，SensorID对iOS设备的影响大于对Android设备的影响，其原因在于，苹果喜欢在其工厂生产线上校准iPhone和iPad传感器，但却只有少数Android供应商通过这一过程来提高智能手机传感器的准确性。

该研究小组在近日发表的一份研究报告中写道：我们的方法是通过仔细分析来自传感器的数据，这无需对网站和应用程序提供任何特殊许可即可访问。我们的分析推断出制造商嵌入到智能手机固件中的每个设备的工厂校准数据，他们通过这种方法来补偿系统制造失误。

之后，该校准数据可以当做指纹，产生唯一标识符，广告或分析公司可以使用该标识符来跟踪用户的上网情况。此外，由于校准传感器指纹在使用应用程序或网站提取时都是相同的，因此，该技术还可用于跟踪用户在浏览器和第三方应用程序之间的切换，允许分析公司全面了解用户的设备使用情况。

对此，研究员表示：“提取校准数据通常需要不到一秒的时间，并且不依赖于设备的位置或方向。我们还尝试在不同位置和不同温度下测量传感器数据，确认这些因素也不会改变SensorID。”

即使在重置出厂设置后，传感器校准指纹也永远不会改变，从而允许跟踪实体把访问标识符作为不变的唯一IMEI码。此外，由于无需获取特殊权限，因此用户无法察觉这种类型的跟踪。

发现这种新跟踪载体的研究小组表示，他们分别于2018年8月、12月通知了苹果和谷歌。苹果在今年3月发布iOS 12.2修补了这个问题，但谷歌只告诉研究人员他们会展开调查。之所以这样，很可能是因为iOS设备比Android智能手机更容易受到这种类型的跟踪。