手机指纹传感器：是否真的那么安全？_指纹传感器需要加密吗-CSDN博客

本文链接：https://blog.csdn.net/Innocence_0/article/details/136922512

快速链接:
.
👉👉👉 个人博客笔记导读目录(全部)
👈👈👈

付费专栏-
付费课程
【购买须知】:
【精选】ARMv8/ARMv9架构入门到精通-[目录]
👈👈👈 —
适合小白入门

【目录】ARMv8/ARMv9架构高级进阶-[目录]👈👈👈
— 高级进阶、小白勿买
【加群】ARM/TEE/ATF/SOC/芯片/安全-学习交流群 — 加群哦
![在这里插入图片描述](https://img-
blog.csdnimg.cn/cd0de6cd4f0d4196a4c5a00bfd51c433.png)

手机指纹传感器：是否真的那么安全？

在目前市面上，几乎所有主流智能手机都装上了时下颇为流行的指纹扫描器。各大手机厂商无不宣称其生物传感器能改进用户体验和移动设备的安全。但这到底是真的吗？

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-
blog.csdnimg.cn/direct/4f1480c420694698b22a74dfbce7d834.png)

答案并不尽然。首先，这些传感器并非毫无缺陷可言。老式的电容式传感器几乎无法识别出湿手的指纹，且通常第一次尝试总是无法成功。因此如果夏天你手容易出汗或在锻炼时，指纹传感器往往都难以正确识别。如果你手指上有划痕、伤疤和其它皮肤缺陷的话，也会降低识别的准确率。此外，许多传感器无法有效分辨真手指和假手指—这是安全方面的一个重大漏洞。

随着高通公司发布超声指纹识别传感器（利用超声波扫描手指的三维图像），上述问题都将得到有效解决。如此用假手指也无法再骗过指纹传感器。此外，使用全新超声指纹识别传感器的话，即使手指有脏污或潮湿也能识别成功。但仍然存在其它的威胁。

[安全研究专家们发现](http://www.zdnet.com/article/hackers-can-remotely-steal-
fingerprints-from-android-phones/)在HTC One Max和Samsung Galaxy
S5两款智能手机的指纹图像保存在未加密的readable-by-any-app
.bmp文件内—且保存格式只是常规的bmp图片格式。任何有权访问用户图片和互联网的软件都能轻松窃取这些指纹图像。开发人员在发现这一漏洞后很快发布了针对性的安全补丁，但试问谁能保证下次推出新手机或发布更新系统时就不会犯同样的错误？

此外，许多智能手机对指纹传感器的安全保护相当薄弱，使得一些恶意软件能轻松从指纹传感器内窃取指纹图片。但有趣的是，苹果智能手机在这方面却相当安全，原因在于对来自传感器的指纹数据进行了加密。

有些手机厂商（例如：华为）则采用ARM
TrustZone技术保护手机内存储的指纹数据。华为手机将指纹图像保存在一个[专门的虚拟”世界”](http://www.arm.com/products/processors/technologies/trustzone/tee-
smc.php)中，主操作系统则无法访问。因此，关键数据（例如：指纹）无法泄露并被第三方应用所利用。但不幸的是，根据实施模型，该[技术同样也存在缺陷](https://www.blackhat.com/docs/us-15/materials/us-15-Zhang-
Fingerprints-On-Mobile-Devices-Abusing-And-Leaking-wp.pdf)。

如果有人告诉你指纹不是密码，任何人无法与他人共享，你完全可以将上述解释给他看—但

千万别当真。新年才没过几天，研究专家们就向我们展示了如何轻松窃取指纹—远程操作，甚至无需当面接触。只要能得到受害人指纹的高分辨率照片。单反相机加上不错的变焦镜头，或者杂志上的高清晰度照片就行。并且这样的[方法也能被用来伪造虹膜](https://www.kaspersky.com/blog/stealing-
digital-identity/10386/)。

如果密码泄露的话，你可以很快更改密码，但人的指纹却永远无法更改。万一指纹被盗呢？因此对于目前各大主流手机厂商的宣传广告，你可不能完全相信。如果你的智能手机内置有指纹传感器的话，我们建议您遵循以下几条简单的安全规则。

尽管有手机厂商的承诺，但千万不要用指纹扫描器来授权PayPal和其它资金交易服务。因为这很不安全。万一手机被盗，你的资金账户将承受极大风险。窃贼完全可以轻松复制手机外壳上的指纹，然后用你的指纹权限给自己网购。窃取密码的难度则要高很多—除非你能利用得当。
通常人们会使用食指或大拇指作为生物测定登入凭证。尽管这很方便，但却并不合适，因为人们操作手机时用得最多的就是食指和大拇指。在手机外壳上能很容易找到完整的食指和大拇指印痕，因此只需伪造指纹就能轻松攻破安全防线—互联网上就有许多这样的操作手册。因此，右撇子最好用左手的小拇指和无名指的指纹，左撇子则反过来做。
由于指纹扫描器不足以保护你的个人数据，因此为了个人隐私的安全着想，应该考虑使用一款特殊应用程序。例如，卡巴斯基安全软件安卓版就内置有防盗和私人联系功能。使用该安全软件能追踪被盗手机，远程清除所有存储数据或隐藏所有短信内容和联系人列表。

总的来说，指纹扫描器确实是一项伟大的发明，且利大于弊。但千万不要过度依赖—聪明地使用新技术的同时，也不要忽视密码、双因素认证和其它安全保护措施。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。