指紋識別并不安全 指紋數據可以被竊取

　　自iPhone5s于手機中加入指紋識別功能后，指紋識別迅速在安卓機群中流行，儼然已成為旗艦機標配。隨之而來的還有各大手機廠商的吹捧，指紋識別能完美解決安全問題云云。可惜指紋技術并不能拯救手機安全。

　　物極必反，被廠家與用戶過度神化的指紋識別功能也不是盡善盡美：iPhone5s發布后僅一天，歐洲最大的駭客團體ChaosComputerClub 就宣布破解了TouchID ，并用視頻記錄了操作過程。

　　而在今年6月的MOSEC移動安全技術峰會上，手機安全研究員介紹了如何利用安卓手機廠商在實現芯片級安全解決方案TrustZone時造成的軟件漏洞，在可信區域執行任意代碼，將TrustZone完全攻破。

　　而TrustZone正是目前很多帶指紋識別的安卓手機確保安全的一個核心技術，一旦被完全攻破，獲取指紋識別數據將變得很容易。

　　安全員在MOSEC移動安全技術峰會的演示過程中表示，攻破搭載指紋識別系統的手機，最困難的是利用TrustZone中的漏洞，因為這是一個完全的黑盒，缺乏文檔和必要的調試手段。據介紹，該次破解是利用內核上的“任意地址寫固定值”漏洞，在獲取內核代碼執行權限后向TEE(可信運行環境)發起進一步攻擊，最終繞過TrustZone的防護系統，可獲取諸多敏感數據。

　　說了這么多，TrustZone到底是什么?

　　TrustZone是為保護敏感信息的一種硬件安全架構體系，把手機從硬件與軟件上分成安全與普通兩個區域。嚴格意義上講，指紋識別只是安全區中的一小部分。