研究人員演示智能鎖破解指紋盜竊

作者：Shaun Nichols

一位學(xué)術(shù)研究人員展示了物聯(lián)網(wǎng)智能鎖如何成為盜竊者暗中竊取指紋，并可能獲取更敏感個人數(shù)據(jù)的工具。一項(xiàng)最新研究顯示，消費(fèi)者智能鎖很容易被破解，從而讓盜竊者竊取目標(biāo)用戶的指紋模式。新加坡詹姆斯庫克大學(xué)本周發(fā)表的一篇論文描述了攻擊者如何利用現(xiàn)成的硬件和一些黑客技術(shù)，通過一種名為droplock的智能鎖破解技術(shù)，偷偷獲取指紋。據(jù)作者兼高級網(wǎng)絡(luò)安全講師StevenKerrison所說，其弱點(diǎn)在于物聯(lián)網(wǎng)智能鎖使用的硬件存在局限性。與將指紋細(xì)節(jié)和其他生物特征數(shù)據(jù)存儲在，加密硬件飛地內(nèi)的智能手機(jī)或平板電腦不同，商業(yè)智能鎖等低端物聯(lián)網(wǎng)設(shè)備缺乏專用的安全存儲。

Kerrison在論文中寫道：“這些設(shè)備的處理器一般性能較差，傳感器價格較低，安全性也不如智能手機(jī)。根據(jù)產(chǎn)品本身的價值或傳感器要保護(hù)的內(nèi)容，這通常被認(rèn)為是可以接受的”為了證明這個弱點(diǎn)，Kerrison制造了一個概念驗(yàn)證裝置，該設(shè)備可以通過Wi-Fi連接智能鎖，并使用漏洞利用或暴露的調(diào)試接口修改鎖的固件，并使用指令來收集和上傳指紋數(shù)據(jù)。另外，可以拆卸鎖并通過板載調(diào)試板直接連接到控制器。無論哪種方式，結(jié)果都是一個鎖，當(dāng)在控制器范圍內(nèi)激活時，它能夠提供目標(biāo)指紋上的數(shù)據(jù)，然后可以用于其他生物識別硬件。與許多智能手機(jī)不同，商業(yè)智能鎖缺乏安全的存儲空間來保護(hù)生物識別數(shù)據(jù)。任何類型的現(xiàn)實(shí)世界攻擊都可能是在一段時間內(nèi)針對預(yù)定目標(biāo)進(jìn)行的，而不是漫無目的地大規(guī)模獲取憑證。在這種情況下，攻擊者需要接近鎖，比如標(biāo)準(zhǔn)藍(lán)牙范圍，才能在鎖被激活時收集指紋。一旦打印數(shù)據(jù)被收集，就可以隨著時間的推移使用它來訪問使用更強(qiáng)大安全措施的其他設(shè)備。在攻擊過程中，攻擊者需要有一個離鎖很近的接收設(shè)備才能可靠地傳輸指紋，所以這意味著攻擊必須更具針對性，而不是把u盤放在周圍，等著人們插上u盤，向網(wǎng)絡(luò)中發(fā)送惡意軟件。這意味著，一場可行的攻擊更有可能針對某個特定的受害者或受害者群體，而不是隨機(jī)發(fā)生的，通過生物識別技術(shù)獲取的資產(chǎn)必須值得付出如此大的努力。

雖然論文中概述的攻擊僅限于物聯(lián)網(wǎng)掛鎖，但Kerrison認(rèn)為，生物識別存儲的潛在弱點(diǎn)將延伸到其他設(shè)備，以保護(hù)更有價值的物品和數(shù)據(jù)。Kerrison說：“我從智能掛鎖開始，是因?yàn)樗鼈兊谋銛y性，以及它們?nèi)绾螢榈蹑i的想法提供幫助。然而，我非常有信心其他設(shè)備，例如智能門鎖，將很容易受到攻擊。那么問題是是否值得使用此類設(shè)備執(zhí)行攻擊?！?/p>

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。