安全研究人员发现微软 Windows Hello 指纹认证可被绕过

安全研究人员发现微软WindowsHello指纹认证可被绕过微软的WindowsHello指纹认证在戴尔、联想甚至微软的笔记本电脑上可被绕过。安全研究人员发现了三款最受欢迎的指纹传感器的多个漏洞，这些传感器被企业广泛用于通过WindowsHello指纹身份验证保护笔记本电脑。微软邀请安全研究人员评估指纹传感器的安全性，研究人员在10月份的微软BlueHat会议上展示了他们的研究成果。该团队选择了来自Goodix、Synaptics和ELAN的三款流行的指纹传感器作为研究对象，并在博客文章中详细介绍了构建一个可以执行中间人攻击(MitM)的USB设备的过程。这种攻击可以提供对被盗笔记本电脑的访问，甚至对无人看管的设备进行“EvilMaid”攻击。戴尔Inspiron15、联想ThinkPadT14和微软SurfaceProX都是指纹识别攻击的受害者，只要有人以前在设备上使用过指纹身份验证，研究人员就可以绕过WindowsHello保护。研究人员对软件和硬件进行了逆向工程，发现了Synaptics传感器上一个自定义TLS的加密实现缺陷。绕过WindowsHello的复杂过程还涉及到解码和重新实现专有协议。——、

安全研究人员使用假红外相机成功绕过 Windows Hello 生物识别验证

安全研究人员使用假红外相机成功绕过WindowsHello生物识别验证问题在于WindowsHello似乎很愿意接受任何具有红外功能的相机作为验证相机,这让黑客可以篡改实际数据流。研究人员使用特制设备向WindowsHello发送两帧数据，第1帧是目标用户的真实红外捕获、第2帧是空白黑帧。其中真实红外捕获用来获得初步的认证, 而空白的黑帧则用来欺骗WindowsHello活体检测机制达到验证目的。CyberArkLabs的研究人员早在3月份发现了该漏洞，并该漏洞命名为研究人员向微软通报漏洞后已经获得微软公司的确认，微软表示此漏洞将在后续更新进行修复。另外微软还提供用于增强生物识别安全性的临时性方案，该方案可以限制只使用来自OEM 制造商信任的摄像头。（，）也就是说打了补丁之后，你买的灵车摄像头可能就不能用于WindowsHello了

安卓 / 鸿蒙手机的指纹可被暴力破解：只需 15 美元设备，腾讯和浙江大学新发现

安卓/鸿蒙手机的指纹可被暴力破解：只需15美元设备，腾讯和浙江大学新发现腾讯安全玄武实验室和浙江大学的研究人员提出了一种名为“BrutePrint”的新攻击，该攻击可通过暴力破解安卓智能手机上的指纹，来绕过用户身份验证并控制设备。暴力攻击依赖于破解代码、密钥或密码并获得对账户、系统或网络的未授权访问的多次反复试验。上述研究人员通过利用两个零日漏洞，即Cancel-After-Match-Fail（CAMF）和Match-After-Lock（MAL），并发现指纹传感器的串行外设接口（SPI）上的生物识别数据没有得到充分保护，允许中间人（MITM）攻击劫持指纹图像，从而破解手机指纹。该论文已发表在上，研究人员针对十种常见的智能手机进行了测试，在所有安卓和华为鸿蒙HarmonyOS设备上实现了无限次尝试破解指纹，在iOS设备上实现了十次额外尝试（共可尝试15次）。论文称，BrutePrint攻击的思路是向目标设备执行无限次的指纹图像提交，直到匹配到用户定义的指纹。攻击者需要对目标设备进行物理访问以发起BrutePrint攻击，访问可以从学术数据集或生物识别数据泄露中获取的指纹数据库，需要一个成本约为15美元的设备。此外，研究人员通过MAL零日漏洞，成功绕过了解锁指纹的次数限制，因此在安卓/鸿蒙手机上可以无限次尝试解锁，并通过“neuralstyletransfer”系统将数据库中的所有指纹图像转换为看起来像是目标设备的传感器扫描图像，因此可以不断靠近正确的指纹。研究人员使用了10款设备进行破解测试，其中包括6款安卓手机，2款华为鸿蒙手机，2款苹果iPhone。测试显示，所有设备都至少存在一个缺陷，而安卓和鸿蒙设备可以被无限次暴力破解。实验表明，当用户在手机上注册了一个指纹时，针对易受攻击的设备成功完成BrutePrint所需的时间在2.9到13.9小时之间。当用户在目标设备上注册多个指纹时，暴力破解时间会下降到仅0.66到2.78小时，因为生成匹配图像的可能性呈指数级增长。()

Android/鸿蒙系统被发现高危漏洞：指纹识别可被暴力破解，iOS不受影响

Android/鸿蒙系统被发现高危漏洞：指纹识别可被暴力破解，iOS不受影响近日，腾讯安全玄武实验室和浙江大学的研究人员，发现在安卓与鸿蒙系统中，存在着一个高危漏洞。该漏洞能够绕开手机指纹识别的次数限制，从而无限次的进行指纹图像提交，通过暴力穷举的方式破解指纹识别。根据相关论文的信息，研究人员通过Cancel-After-Match-Fail（CAMF）和Match-After-Lock（MAL）两个零日漏洞，以及指纹传感器的串行外设接口没有得到充分保护，从而破解了手机指纹。研究人员使用了10款设备进行破解测试，其中包括6款安卓手机，2款华为鸿蒙手机以及2款iPhone。从测试结果来看，所有设备在指纹识别的安全性上都存在缺陷，但只有iOS不会被无限次的暴力破解。值得一提的是，根据实验数据，当用户在一台设备上录入多个指纹时，暴力破解所需的时间将出现明显下滑，这与多个指纹生成匹配图像的概率更高有关。因此，如非必要，最好不要在手机上录入多个指纹信息。——

研究人员已经证明，不需要使用任何复杂或不寻常的工具，只需花费5美元，就可以克隆出指纹用于生物识别认证。由此产生的指纹可以骗过现代

研究人员已经证明，不需要使用任何复杂或不寻常的工具，只需花费5美元，就可以克隆出指纹用于生物识别认证。由此产生的指纹可以骗过现代指纹传感器，如最新的MacBookPro中使用的指纹传感器：https://youtu.be/VYI9XNO4XzU2019年1月的内容：《当每种生物识别都可以伪造时》https://www.iyouport.org/%e5%bd%93%e6%af%8f%e7%a7%8d%e7%94%9f%e7%89%a9%e8%af%86%e5%88%ab%e9%83%bd%e5%8f%af%e4%bb%a5%e4%bc%aa%e9%80%a0%e6%97%b6/

Android/鸿蒙系统被发现高危漏洞：指纹识别可被暴力破解

Android/鸿蒙系统被发现高危漏洞：指纹识别可被暴力破解根据相关论文的信息，研究人员通过Cancel-After-Match-Fail（CAMF）和Match-After-Lock（MAL）两个零日漏洞，以及指纹传感器的串行外设接口没有得到充分保护，从而破解了手机指纹。研究人员使用了10款设备进行破解测试，其中包括6款安卓手机，2款华为鸿蒙手机以及2款iPhone。从测试结果来看，所有设备在指纹识别的安全性上都存在缺陷，但只有iOS不会被无限次的暴力破解。值得一提的是，根据实验数据，当用户在一台设备上录入多个指纹时，暴力破解所需的时间将出现明显下滑，这与多个指纹生成匹配图像的概率更高有关。因此，如非必要，最好不要在手机上录入多个指纹信息。...PC版：https://www.cnbeta.com.tw/articles/soft/1361143.htm手机版：https://m.cnbeta.com.tw/view/1361143.htm