|
Synaptics公司供稿 人們已經自然而然地認為指紋是獨一無二的,而且遠比密碼安全。從很多方面來說,確實是這樣的。但不為人熟知的是:筆記本廠商選擇的指紋傳感器,可能會導致你的指紋圖像被盜取,讓小偷可以拿著一把“萬能鑰匙”,使用你所有設備,訪問你公司的資料。 目前筆記本市場上有兩種類型的指紋傳感器:一種是加密、安全的;另一種是沒有加密、不安全的。如果你不幸買了指紋傳感器不具備加密功能的電腦,那你就是將你的指紋圖像和“萬能鑰匙”開放給了小偷。和密碼不一樣的是,當你的指紋被偷之后,你是不能修改你指紋的。 小偷盜走沒有加密的指紋圖像能做什么呢?他們可以制作假體,或者用一款不超過200美金的噴墨打印機打印出你的指紋圖像。有了假指紋,他們不僅可以解鎖那部你指紋被盜走的電腦,而且還能解鎖你的手機,偷走你所有個私人信息和照片。別忘了,如果你的電腦還連著你的公司網絡,相當于你也把你公司的商業機密以及其他保密信息都交給了小偷。這是BYOD(攜帶自己的設備辦公)時代,IT安全人員應該對此格外注意。 比制作出一個實體假指紋更危險的是,小偷可以通過一個叫做Replay Attack的東西,隨時黑進你的電腦。小偷可以擁有電腦主人擁有的所有權限。比如說,如果一個IT管理員賬戶被盜用,那么小偷就將擁有廣泛的公司服務器權限。當你盜走一個指紋圖像,你可以把圖像植入或回放進電腦里來實現解鎖。電腦將無法區分真實手指,和被植入回來的假指紋之間的區別。一旦小偷可以植入指紋圖像,他們就可以遠程解鎖電腦,獲得你的數據以及企業網絡服務的訪問權限。這種攻擊方法也可以應用在電源控制電路,小偷可以隨意遠程啟動系統或關閉系統不被任何人發現。 
圖一 在圖一中,最上方的是被盜電腦(可以使用任何一款指紋傳感器不具備加密功能的電腦),下方是黑客電腦(任一具備藍牙的PC都可以)。黑客電腦無線地從被盜電腦上側錄未加密的指紋。然后黑客電腦就可以永久擁有一個人的指紋圖像了。 黑客電腦現在可以執行兩種不同的操作。它既可以將獲取的指紋數據重新發送回被盜電腦,然后遠程解鎖電腦;也可以將指紋圖像發送到打印機,通過使用現成的打印機和導電墨水,黑客就能創建一個“萬能鑰匙”并且訪問被盜電腦——甚至還能無需觸碰就訪問被盜者的手機。 那么我們如何去預防這種現象呢?使用加密的指紋傳感器。要求我們的筆記本電腦制造商使用加密指紋傳感器。Synaptics從多年前就已經開始出貨加密指紋傳感器了,并且還推出了一整套叫作SentryPoint的安全套件,為指紋識別傳感器提供全面安全保護。除了其他的安全加密特征,SentryPoint安全套件還能將傳感器和電腦主機之間的線路進行加密。要求我們的筆記本制造商使用Synaptics的加密傳感器或其他供應商的加密傳感器。使用未加密的指紋傳感器會將用戶的指紋數據暴露在危險中,這種危險可以輕易地被利用,但是也可以很容易地避免。 并不是所有的加密都是一樣的。要求從傳感器到主機的全方位加密是非常重要的。之所以會產生這個問題,是因為一些筆記本電腦制造商選擇使用廉價的未加密的手機指紋傳感器,并通過一個微控制器將傳感器和筆記本電腦相連接。這種情況下,即使從微控制器到主機的鏈路是加密的,也不安全,因為加密的安全性將取決于鏈路最薄弱的環節。任何未經加密的線路都是極其脆弱的。加密指紋傳感器和微控制器之間的鏈接是很脆弱的,很容易受到上述攻擊。 為什么一些筆記本電腦制造商會使用未經加密的手機指紋傳感器,讓你的隱私及公司信息存有潛在安全隱患呢?因為那些傳感器便宜,它們是僅為手機使用而設計的。如今的手機,都是防水的,而且很難被拆開。與電腦不同,手機幾乎在任何時候都是不離身的。手機可以依靠物理上的安全來確保傳感器的安全。但筆記本電腦卻不同,它通常都會被放在家里的桌子上、汽車里、辦公室里或者是公共咖啡廳的桌子上。你可以在短短幾分鐘內就輕松訪問電腦內的文件。正由于安全和使用模式的不同,手機的安全組件不應該被用于筆記本電腦上。 小偷和黑客往往把注意力集中在小概率事件上,因為顯而易見的安全隱患已受到嚴密的監控。英特爾和微軟都在努力保護主機中的數據,固態硬盤是經過加密的,甚至BIOS也是受保護的,這就讓沒有加密的傳感器很容易成為被攻擊的目標。這包括任何一個傳輸未加密圖像的生物傳感器,而指紋傳感器則是首當其沖。因此需要各方共同努力,加密所有生物傳感器來確保安全。 在Synaptics,我們提供一整套名為SentryPoint的安全套件,為指紋識別傳感器提供全面安全保護。這些安全保護的基礎是SecureLink,通過強大的TLS 1.2加密和AES-256256位高級加密提供從傳感器到主機的加密保護,這也是 Synaptics的關鍵差異化優勢。除此之外,我們還提供其他技術,比如PurePrint可區分真假手指…也被叫作“假體指紋”。作為模塊化軟件架構的一部分, PurePrint驅動器可升級更新,以應對新出現的威脅。我們現在已開始出貨支持PurePrint技術的驅動器。最后,如果您想要最堅不可摧的安全解決方案,我們可以提供行業獨一無二的Match-in-Sensor傳感器匹配解決方案。在這個解決方案中,指紋模板將只在傳感器內進行匹配。這種方案將傳送至主機的數據限制在簡單的“是”或“否”。即便如此,匹配結果也是加密的。如果筆記本電腦制造商選擇使用有Synaptics SentryPoint技術的指紋傳感器,那么上述破解攻擊成功的幾率將被大大降低。 多年以來,我們的許多客戶已經采用了完全加密的指紋傳感器,有些甚至選擇具備更高安全可靠性的加密技術和Match-in-Sensor傳感器匹配技術。今年開始,我們在驅動器中也開始出貨PurePrint防偽造技術,幫助我們防御假體指紋。 我們在零售店購買了我們的演示筆記本電腦,這臺筆記本電腦使用的是未加密的手機傳感器。在過去的兩個星期里,我們一直在實時演示竊取用戶指紋圖像是何等容易的一件事。僅僅五分鐘,我們就可以偷走你的指紋,然后獲得你筆記本電腦和公司網絡的所有訪問權限;在不到20分鐘內,我們就能偷走你的指紋,然后制作假體去解鎖大多數主流手機,去查看手機中的文本、圖片和數據。 我們將在5月30日至6月3日期間,在臺北電腦展(COMPUTEX TAIPEI)演示上述安全隱患及其解決方案,如果您計劃前往臺北電腦展并對此感興趣,歡迎與Synaptics聯系,我們將會為您預約時間參觀及體驗。 |
