研究人員演示智能鎖破解指紋盜竊

  • 人閱讀
  • 2022-09-02 00:00:00

  • 來源:千家網(wǎng)

  • 相關(guān)關(guān)鍵詞

作者:Shaun Nichols

一位學(xué)術(shù)研究人員展示了物聯(lián)網(wǎng)智能鎖如何成為盜竊者暗中竊取指紋,并可能獲取更敏感個(gè)人數(shù)據(jù)的工具。一項(xiàng)最新研究顯示,消費(fèi)者智能鎖很容易被破解,從而讓盜竊者竊取目標(biāo)用戶的指紋模式。新加坡詹姆斯庫克大學(xué)本周發(fā)表的一篇論文描述了攻擊者如何利用現(xiàn)成的硬件和一些黑客技術(shù),通過一種名為droplock的智能鎖破解技術(shù),偷偷獲取指紋。據(jù)作者兼高級(jí)網(wǎng)絡(luò)安全講師StevenKerrison所說,其弱點(diǎn)在于物聯(lián)網(wǎng)智能鎖使用的硬件存在局限性。與將指紋細(xì)節(jié)和其他生物特征數(shù)據(jù)存儲(chǔ)在,加密硬件飛地內(nèi)的智能手機(jī)或平板電腦不同,商業(yè)智能鎖等低端物聯(lián)網(wǎng)設(shè)備缺乏專用的安全存儲(chǔ)。

Kerrison在論文中寫道:“這些設(shè)備的處理器一般性能較差,傳感器價(jià)格較低,安全性也不如智能手機(jī)。根據(jù)產(chǎn)品本身的價(jià)值或傳感器要保護(hù)的內(nèi)容,這通常被認(rèn)為是可以接受的”為了證明這個(gè)弱點(diǎn),Kerrison制造了一個(gè)概念驗(yàn)證裝置,該設(shè)備可以通過Wi-Fi連接智能鎖,并使用漏洞利用或暴露的調(diào)試接口修改鎖的固件,并使用指令來收集和上傳指紋數(shù)據(jù)。另外,可以拆卸鎖并通過板載調(diào)試板直接連接到控制器。無論哪種方式,結(jié)果都是一個(gè)鎖,當(dāng)在控制器范圍內(nèi)激活時(shí),它能夠提供目標(biāo)指紋上的數(shù)據(jù),然后可以用于其他生物識(shí)別硬件。與許多智能手機(jī)不同,商業(yè)智能鎖缺乏安全的存儲(chǔ)空間來保護(hù)生物識(shí)別數(shù)據(jù)。任何類型的現(xiàn)實(shí)世界攻擊都可能是在一段時(shí)間內(nèi)針對預(yù)定目標(biāo)進(jìn)行的,而不是漫無目的地大規(guī)模獲取憑證。在這種情況下,攻擊者需要接近鎖,比如標(biāo)準(zhǔn)藍(lán)牙范圍,才能在鎖被激活時(shí)收集指紋。一旦打印數(shù)據(jù)被收集,就可以隨著時(shí)間的推移使用它來訪問使用更強(qiáng)大安全措施的其他設(shè)備。在攻擊過程中,攻擊者需要有一個(gè)離鎖很近的接收設(shè)備才能可靠地傳輸指紋,所以這意味著攻擊必須更具針對性,而不是把u盤放在周圍,等著人們插上u盤,向網(wǎng)絡(luò)中發(fā)送惡意軟件。這意味著,一場可行的攻擊更有可能針對某個(gè)特定的受害者或受害者群體,而不是隨機(jī)發(fā)生的,通過生物識(shí)別技術(shù)獲取的資產(chǎn)必須值得付出如此大的努力。

雖然論文中概述的攻擊僅限于物聯(lián)網(wǎng)掛鎖,但Kerrison認(rèn)為,生物識(shí)別存儲(chǔ)的潛在弱點(diǎn)將延伸到其他設(shè)備,以保護(hù)更有價(jià)值的物品和數(shù)據(jù)。Kerrison說:“我從智能掛鎖開始,是因?yàn)樗鼈兊谋銛y性,以及它們?nèi)绾螢榈蹑i的想法提供幫助。然而,我非常有信心其他設(shè)備,例如智能門鎖,將很容易受到攻擊。那么問題是是否值得使用此類設(shè)備執(zhí)行攻擊?!?/p>

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2022-09-02
研究人員演示智能鎖破解指紋盜竊
無論哪種方式,結(jié)果都是一個(gè)鎖,當(dāng)在控制器范圍內(nèi)激活時(shí),它能夠提供目標(biāo)指紋上的數(shù)據(jù),然后可以用于其他生物識(shí)別硬件。與許多智能手機(jī)不同,商業(yè)智能鎖缺乏安全的存儲(chǔ)空間來保護(hù)生物識(shí)別數(shù)據(jù)。任何類型的現(xiàn)實(shí)世界攻擊都可能是在一段時(shí)間內(nèi)針對預(yù)定目標(biāo)進(jìn)行的,而不是漫無目的地大規(guī)模獲取憑證。

長按掃碼 閱讀全文