指纹安全漏洞绝不是HTC自己的丑闻

2015-08-17 00:29

　　近来HTC并不太平，继手机爆出巨大指纹信息安全漏洞之后，公司又因糟糕的二季度财报和三季度预测，表示将全球裁员15%。这个结果其实很能说明一个问题，就是手机隐私的安全重要性已经不再只是宣传噱头，它已经上升到可以很大程度上影响品牌的信赖度。

　　过去这些年，苹果和其它大量的安卓手机厂商都在致力于指纹识别的技术进步。这种技术毫无疑问是比传统的密码保护方式要进步许多，不过看完一个来自FireEye的研究机构报告结果之后，却着实让人大跌眼镜。据报告所说，很多安卓系统的手机安全性堪忧，很多情况下，只需将手机和电脑相连，就可以找到相关的文件夹把指纹信息轻松读取出来。

　　这可是个很严重的问题，因为很多时候指纹识别是在支付过程中使用的。这个报告不仅发现了这个问题，还着重表达了对手机OEM厂商对指纹识别的安全性如此轻视的遗憾。因为在理论上来说，指纹信息应该与系统核心的安全级别至少是等同的。ARM的TrustZone技术是提供了额外的一层隔离保护，可问题就是有些OEM根本没把这当回事。

HTC One Max手机中储存的原始指纹位图和修正位图

　　报告中举的例子很让人震惊：

　　HTC，这个大家熟知的知名手机品牌，竟然将用户指纹信息储存在了/data/dbgraw.bmp文件中，且任何一个普通权限的程序都可以直接打开并浏览其内容。虽然其它的厂商会把指纹存储在TrustZone之中，但仍旧有黑客可以轻松获取其中的信息。HTC的漏洞造成的后果更糟糕，因为它是在每一次指纹识别成功后自动更新指纹信息到对应文件夹，所以其实相当于是黑客正坐在那里接受每一次最新的客户指纹信息。

1 2 下一页>