Android/鸿蒙系统被发现高危漏洞：指纹识别可被暴力破解，iOS不受影响

Android/鸿蒙系统被发现高危漏洞：指纹识别可被暴力破解，iOS不受影响近日，腾讯安全玄武实验室和浙江大学的研究人员，发现在安卓与鸿蒙系统中，存在着一个高危漏洞。该漏洞能够绕开手机指纹识别的次数限制，从而无限次的进行指纹图像提交，通过暴力穷举的方式破解指纹识别。根据相关论文的信息，研究人员通过Cancel-After-Match-Fail（CAMF）和Match-After-Lock（MAL）两个零日漏洞，以及指纹传感器的串行外设接口没有得到充分保护，从而破解了手机指纹。研究人员使用了10款设备进行破解测试，其中包括6款安卓手机，2款华为鸿蒙手机以及2款iPhone。从测试结果来看，所有设备在指纹识别的安全性上都存在缺陷，但只有iOS不会被无限次的暴力破解。值得一提的是，根据实验数据，当用户在一台设备上录入多个指纹时，暴力破解所需的时间将出现明显下滑，这与多个指纹生成匹配图像的概率更高有关。因此，如非必要，最好不要在手机上录入多个指纹信息。——

Android/鸿蒙系统被发现高危漏洞：指纹识别可被暴力破解

Android/鸿蒙系统被发现高危漏洞：指纹识别可被暴力破解根据相关论文的信息，研究人员通过Cancel-After-Match-Fail（CAMF）和Match-After-Lock（MAL）两个零日漏洞，以及指纹传感器的串行外设接口没有得到充分保护，从而破解了手机指纹。研究人员使用了10款设备进行破解测试，其中包括6款安卓手机，2款华为鸿蒙手机以及2款iPhone。从测试结果来看，所有设备在指纹识别的安全性上都存在缺陷，但只有iOS不会被无限次的暴力破解。值得一提的是，根据实验数据，当用户在一台设备上录入多个指纹时，暴力破解所需的时间将出现明显下滑，这与多个指纹生成匹配图像的概率更高有关。因此，如非必要，最好不要在手机上录入多个指纹信息。...PC版：https://www.cnbeta.com.tw/articles/soft/1361143.htm手机版：https://m.cnbeta.com.tw/view/1361143.htm

微软新增Windows组策略 增强暴力破解攻击保护

微软新增Windows组策略增强暴力破解攻击保护暴力破解（Bruteforceattacks）是通过试错策略来破解密码和加密密钥的一种攻击方式，也是网络犯罪分子用来攻击Windows计算机的最常用方法之一。如果没有适当的安全工具，攻击者可以无限制地尝试猜测帐户的密码。如果密码很弱，威胁者很快就会渗透到帐户中。PC版：https://www.cnbeta.com/articles/soft/1326261.htm手机版：https://m.cnbeta.com/view/1326261.htm

“鸿蒙之父”王成录重申 鸿蒙系统不是安卓

“鸿蒙之父”王成录重申鸿蒙系统不是安卓王成录表示，鸿蒙最大的价值在于多设备之间，通过鸿蒙软总线能够互相组合，并且拥有三个重要技术特点，分别为“统一OS，弹性部署”“硬件互助，资源共享”“一次开发，多端部署”。谈到鸿蒙系统，王成录十分自豪地说：“中国在系统软件领域中，鸿蒙是唯一一个在技术架构领先了全球所有操作系统的”。据了解，2015年，王成录被任命为华为终端BG软件部总裁，并带领团队用时四年，开发出了鸿蒙系统，而王成录则被外界称为“鸿蒙之父”。其实，早在2021年3月，王成录就回应过“鸿蒙是安卓翻版”传言，彼时，王成录称，其实大家质疑鸿蒙是不是安卓换个壳，这说明中国科技界对软件开源的理解不够一致。并不是所有安卓代码都是Google开发的，绝大部分代码来自开源社区。鸿蒙也会吸收社区的优秀技术和代码，用了AOSP的开源代码，就判断鸿蒙是安卓换了皮，说明这类吐槽者没有太准确理解什么是开源。...PC版：https://www.cnbeta.com.tw/articles/soft/1337329.htm手机版：https://m.cnbeta.com.tw/view/1337329.htm

微软的 Windows Hello 指纹验证机制已被绕过

微软的WindowsHello指纹验证机制已被绕过微软的进攻研究与安全工程（MORSE）要求BlackwingIntelligence对指纹传感器的安全性进行评估，研究人员在10月份的微软BlueHat大会上的一次演讲中提供了他们的发现。研究小组将Goodix、Synaptics和ELAN等公司的流行指纹传感器作为研究目标，并在最新发表的一篇博文中详细介绍了构建可执行中间人（MitM）攻击的USB设备的深入过程。这种攻击可以访问被盗的笔记本电脑，甚至可以对无人值守的设备发动"邪恶女仆"攻击。戴尔Inspiron15、联想ThinkPadT14和微软SurfaceProX都是指纹识别器攻击的受害者，只要有人之前在设备上使用过指纹验证，研究人员就可以绕过WindowsHello保护。BlackwingIntelligence的研究人员对软件和硬件进行了逆向工程，发现了Synaptics传感器上定制TLS的加密实现缺陷。绕过WindowsHello的复杂过程还涉及解码和重新实施专有协议。得益于微软对WindowsHello和无密码未来的推动，指纹传感器目前已被Windows笔记本电脑用户广泛使用。微软三年前曾透露，近85%的消费者使用WindowsHello登录Windows10设备，而不是使用密码（不过，微软将简单的PIN码也算作使用WindowsHello）。这已经不是WindowsHello生物识别身份验证第一次被破解了。2021年，微软被迫修复了一个WindowsHello身份验证绕过漏洞，该漏洞涉及捕捉受害者的红外图像来欺骗WindowsHello的面部识别功能。不过，目前还不清楚微软能否单独修复这些最新漏洞。BlackwingIntelligence的研究人员JesseD'Aguanno和TimoTeräs在关于这些漏洞的深度报告中写道："微软在设计安全设备连接协议（SDCP）以提供主机和生物识别设备之间的安全通道方面做得很好，但不幸的是，设备制造商似乎误解了其中的一些目标。此外，SDCP只覆盖了典型设备非常狭窄的操作范围，而大多数设备都暴露出相当大的攻击面，根本不在SDCP的覆盖范围内。"研究人员发现，在他们锁定的三台设备中，有两台没有启用微软的SDCP保护。现在，BlackwingIntelligence建议原始设备制造商确保启用SDCP，并确保指纹传感器的实施由合格的专家进行审核。BlackwingIntelligence还在探索对传感器固件的内存破坏攻击，甚至是Linux、Android和苹果设备上的指纹传感器安全。...PC版：https://www.cnbeta.com.tw/articles/soft/1399057.htm手机版：https://m.cnbeta.com.tw/view/1399057.htm

余承东：逾九亿台设备使用华为鸿蒙操作系统

余承东：逾九亿台设备使用华为鸿蒙操作系统中国科技巨头华为终端董事长余承东披露，华为用10年时间让鸿蒙操作系统实现核心技术的突破，并称目前已有超过九亿台设备使用鸿蒙操作系统。综合路透社、澎湃新闻和证券时报网报道，余承东星期五（6月21日）在广东东莞举行的华为开发者大会开幕仪式上说，华为用10年时间让鸿蒙操作系统实现操作系统核心技术的突破。他说：“鸿蒙取得了重大突破。可以说，在建立独立操作系统的核心技术方面，我们在10年内取得了欧美同行30多年来取得的成就。”余承东介绍，鸿蒙操作系统连接生态设备数量已经突破九亿台，目前排名前5000的手机应用已经有1500款以上完成了鸿蒙原生应用上架。余承东还在会上宣布，鸿蒙星河版（HarmonyOSNEXT）面向开发者启动Beta版，它基于鸿蒙内核，不再兼容安卓开发的应用程序。在美国制裁导致华为无法与安卓所有者谷歌合作后，华为在2019年推出自己的鸿蒙操作系统。余承东还说，华为升腾人工智能基础架构是中国公司中功能最强大的，目前仅次于主导人工智能芯片市场的英伟达。他说，长期以来，操作系统和其他软件一直由欧洲和美国主导，不过物联网时代给了华为超越的机会。自去年推出采用改进型国产芯片的Mate60以来，华为的智能手机业务经历了一次复兴。余承东说，今年前五个月，华为Pura70系列出货量同比增长68%，旗舰手机发货量同比增长72%。研究公司Counterpoint称，今年第一季度，华为的鸿蒙超越苹果的iOS，成为中国第二大畅销的移动操作系统，市场份额达到17%，仅次于安卓。2024年6月21日7:06PM