◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
在WannaCry勒索软件计算机病毒攻击之后,还有一件事需要担心。一些现代笔记本电脑用来识别用户的指纹识别系统很容易受到欺骗过程的影响。
Synaptics警告指纹欺骗会使笔记本电脑易受攻击
本月早些时候制造指纹识别传感器和触摸板技术的Synaptics发出警告称,一些寻求每台机器节省约25美分的电脑制造商选择使用不安全的智能手机指纹传感器而不是更安全的笔记本电脑传感器,Godfrey Cheng说。总部位于加利福尼亚州圣克拉拉的公司产品副总裁在接受VentureBeat采访时说。
“指纹识别已经起飞,因为当它完成时它是安全和方便的,”他说。“当它一直不安全时,那就是攻击者可以利用的暴露。”
智能手机指纹传感器通常使用未加密的方法来存储指纹并将其发送到中央处理单米(CPU)以进行处理。这使得数据容易受到窥探软件和其他黑客的攻击。相比之下,Synaptics传感器使用加密和辅助主机处理器来进行识别工作。
Cheng表示,这种加密技术使黑客更难以复制指纹并使用它来远程解锁计算机。Synaptics本周将在导航的Computex贸易展上展示指纹不安全性。
不安全的指纹传感器令人不安,因为现代笔记本电脑用户习惯于相信指纹是独特的并且比密码更安全。这在很大程度上是正确的,但笔记本电脑制造商在传感器中的选择可能会导致指纹图像被盗。这使得用户的笔记本电脑机密以及整个企业的机密,如果它是一台工作计算机。
“目前笔记本电脑市场上有两种类型的指纹传感器,”Cheng说。“那些加密和安全的,以及那些未加密和不安全的。”
Cheng表示,窃贼可以使用典型的网络钓鱼方法来控制您的计算机,并且可以在您使用笔记本电脑的指纹扫描仪时植入软件程序来嗅探您的指纹。一旦他们拥有图像,他们就可以使用欺骗手段获取访问权限。他在我正在使用的机器上展示了这个,正如你在视频中看到的那样。
“一些电脑制造商将以25美分的价格妥协他们的品牌和客户,”程说。“那是错的。他们声称他们有加密,但没有传感器到主机的链接。
Theives还可以从包含指纹数据的200美米喷墨打印机打印实际指纹。如果小偷拿出打印输出并将其按下指纹传感器,指纹扫描仪会将纸张识别为合法指纹并解锁计算机。Cheng和他的同事们在演示中向我展示了这样的恶搞。
无论用户对企业的访问级别如何,都为黑客暴露。他们可以访问公司的数据及其所有企业网络访问服务。如果您使用指纹验证各种电子商务帐户的密码。这些网络也变得脆弱。
这种攻击方法可以扩展到电源控制电路,允许窃贼远程启动系统,并在没有人注意的情况下将其关闭。
为了防止这种情况发生,您应该检查您的笔记本电脑是否使用加密指纹传感器,例如Synaptics制造的传感器。Synaptics推出了一套名为SentryPoint的安全功能,可完全加密指纹传感器与计算机主机或辅助处理器之间的路径。
一些笔记本电脑制造商出于成本原因选择使用智能手机指纹 但笔记本电脑比手机更容易受到攻击,因为我们大多数时间都会将智能手机放在我们的身体,裤子口袋或钱包里。笔记本经常留在家里,车内,办公室和公共咖啡店桌上的桌子上。您可以在几分钟内轻松访问笔记本电脑外壳的内部。
一旦进入主机环境,英特尔和微软都在努力保护数据。基于闪存的存储(称为SSD)已加密。现在,即使是BIOS(启动计算机的基本输入输出软件)也是安全的。这会将任何未加密的传感器留作漏洞。
用户必须提供两种安全识别方法的双因素身份验证有助于解决此漏洞。如果您的笔记本电脑结合指纹和面部识别,将有所帮助
生物识别指纹解决方案使用公开审查的算法,例如AES256。使用当今的超级计算机,需要很长时间来暴力(尝试所有可能的组合)AES 256位密钥。这不是不可能破解,但对攻击者来说非常不方便。重点是平衡用户的便利性和保护。
“指纹识别会有破损,因为没有安全性是完美的,”程说。“我们将继续加强。安全性与便利性相称。中间的某个地方是一个快乐的媒介。
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。