研究人員演示智能鎖破解指紋盜竊

作者：Shaun Nichols

一位學術(shù)研究人員展示了物聯(lián)網(wǎng)智能鎖如何成為盜竊者暗中竊取指紋，并可能獲取更敏感個人數(shù)據(jù)的工具。一項最新研究顯示，消費者智能鎖很容易被破解，從而讓盜竊者竊取目標用戶的指紋模式。新加坡詹姆斯庫克大學本周發(fā)表的一篇論文描述了攻擊者如何利用現(xiàn)成的硬件和一些黑客技術(shù)，通過一種名為droplock的智能鎖破解技術(shù)，偷偷獲取指紋。據(jù)作者兼高級網(wǎng)絡(luò)安全講師StevenKerrison所說，其弱點在于物聯(lián)網(wǎng)智能鎖使用的硬件存在局限性。與將指紋細節(jié)和其他生物特征數(shù)據(jù)存儲在，加密硬件飛地內(nèi)的智能手機或平板電腦不同，商業(yè)智能鎖等低端物聯(lián)網(wǎng)設(shè)備缺乏專用的安全存儲。

Kerrison在論文中寫道：“這些設(shè)備的處理器一般性能較差，傳感器價格較低，安全性也不如智能手機。根據(jù)產(chǎn)品本身的價值或傳感器要保護的內(nèi)容，這通常被認為是可以接受的”為了證明這個弱點，Kerrison制造了一個概念驗證裝置，該設(shè)備可以通過Wi-Fi連接智能鎖，并使用漏洞利用或暴露的調(diào)試接口修改鎖的固件，并使用指令來收集和上傳指紋數(shù)據(jù)。另外，可以拆卸鎖并通過板載調(diào)試板直接連接到控制器。無論哪種方式，結(jié)果都是一個鎖，當在控制器范圍內(nèi)激活時，它能夠提供目標指紋上的數(shù)據(jù)，然后可以用于其他生物識別硬件。與許多智能手機不同，商業(yè)智能鎖缺乏安全的存儲空間來保護生物識別數(shù)據(jù)。任何類型的現(xiàn)實世界攻擊都可能是在一段時間內(nèi)針對預定目標進行的，而不是漫無目的地大規(guī)模獲取憑證。在這種情況下，攻擊者需要接近鎖，比如標準藍牙范圍，才能在鎖被激活時收集指紋。一旦打印數(shù)據(jù)被收集，就可以隨著時間的推移使用它來訪問使用更強大安全措施的其他設(shè)備。在攻擊過程中，攻擊者需要有一個離鎖很近的接收設(shè)備才能可靠地傳輸指紋，所以這意味著攻擊必須更具針對性，而不是把u盤放在周圍，等著人們插上u盤，向網(wǎng)絡(luò)中發(fā)送惡意軟件。這意味著，一場可行的攻擊更有可能針對某個特定的受害者或受害者群體，而不是隨機發(fā)生的，通過生物識別技術(shù)獲取的資產(chǎn)必須值得付出如此大的努力。

雖然論文中概述的攻擊僅限于物聯(lián)網(wǎng)掛鎖，但Kerrison認為，生物識別存儲的潛在弱點將延伸到其他設(shè)備，以保護更有價值的物品和數(shù)據(jù)。Kerrison說：“我從智能掛鎖開始，是因為它們的便攜性，以及它們?nèi)绾螢榈蹑i的想法提供幫助。然而，我非常有信心其他設(shè)備，例如智能門鎖，將很容易受到攻擊。那么問題是是否值得使用此類設(shè)備執(zhí)行攻擊?！?/p>

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。