生物识别访问面临风险

最新推荐文章于 2024-09-04 10:50:03 发布
最新推荐文章于 2024-09-04 10:50:03 发布
阅读量5.1k 收藏 9
点赞数 11
分类专栏: 网络研究观 文章标签: 漏洞 风险 生物识别 身份 验证
本文链接:https://blog.csdn.net/qq_29607687/article/details/134588139
版权

安全公司 Blackwing Intelligence 发现了多个允许您绕过Windows Hello 身份验证的漏洞。

戴尔 Inspiron 灵越 15、联想 ThinkPad T14 和 Microsoft Surface Pro X笔记本电脑上会出现这种情况,原因是设备中集成了来自Goodix、Synaptics 和 ELAN的指纹传感器。

所有三种类型的指纹传感器均采用“芯片匹配” (MoC) 原理。该原理将匹配功能和其他生物识别控制直接集成到传感器 IC 中。 

所有指纹信息均在传感器本身上进行处理和存储。它们不会传输到外部处理器或存储设备。

然而,MoC 并不能阻止中间对手(AitM)攻击。因此,攻击者可以模仿传感器和主机之间的合法通信,并错误地声称授权用户已通过身份验证。

使用指纹识别器的前提是目标笔记本电脑的用户已经配置了指纹认证。

Blackwing Intelligence 发现 ELAN 传感器由于缺乏对 Microsoft安全设备连接协议 (SDCP ) 的支持而容易受到攻击。

它还受到以明文形式传输安全标识符的影响,这使得任何 USB 设备都可以伪装成指纹传感器。

对于 Synaptics,问题是默认情况下禁用 SDCP。它使用自定义的、不安全的TLS 堆栈 来保护主机驱动程序和传感器之间的 USB 连接。可以操纵它来绕过生物识别身份验证。

为了利用 Goodix 传感器漏洞,网络犯罪分子可以利用 Windows 和 Linux 之间指纹注册过程的差异。

这使得攻击者的指纹被记录在 Linux 数据库中,然后用于以合法用户身份登录 Windows。

值得注意的是,汇顶传感器拥有针对 Windows 和非 Windows 系统的单独指纹模式数据库。

该攻击是可能的,因为主机驱动程序向传感器发送未经身份验证的配置数据包。这对于指示初始化传感器时使用哪个数据库是必要的。

建议硬件制造商启用 SDCP 并由独立专家验证指纹传感器的实现。 

这并不是 Windows Hello 生物识别身份验证第一次被成功绕过。

2021年7月,微软发布了CVE-2021-34466(CVSS:6.1)漏洞的补丁。

这个安全漏洞使得身份验证系统可以通过使用红外图像来欺骗。

网络研究观
关注
专栏目录
180119 杂项-生物特征识别原理和绕过
whklhhhh的博客
01-20 852
1625-5 王子昂 总结《2018年1月19日》 【连续第476天总结】 A. APK生物特征识别相关介绍和漏洞 B.生物特征识别结论常见的生物特征识别都存在已与获取、易于伪造的风险常见特征 指纹 虹膜 人脸 指静脉 声音 DNA 手型 掌纹 掌静脉 认证方式 我是谁 指纹 虹膜 面部 习惯 我有什么 token 证书 U盾 手机验证码 我知道什么 密码 安全问题 订单 好友 设备需要
全球及中国生物识别车辆访问技术行业十四五应用现状及未来展望规划报告2022-2027年
HSXH1的博客
10-24 2674
全球及中国生物识别车辆访问技术行业十四五应用现状及未来展望规划报告2022-2027年 【搜索鸿晟信合查看官网更多内容!】 生物识别车辆访问技术位于起步阶段,指纹识别、虹膜扫描、面部识别等技术可以取代传统车钥匙,用于访问和启动车辆。 2020年,全球生物识别车辆访问技术市场规模达到了 百万美元,预计2027年将达到 百万美元,年复合增长率(CAGR)为 % (2021-2027)。中国市场规模增长快速,预计将由2020年的 百万美元增长到2027年的 百万美元,年复合增长率 % (2021-2027)。 .
生物特征识别技术的安全性分析
红孩儿编程大师
04-15 2402
生物识别数据包括指纹,掌纹,面部特征,声音,虹膜, 指静脉 步态和行走姿势,心跳特征等。 使用该技术的缺点如下:一是准确率不是足够高。印度的生物识别大数据系统,覆盖12亿印度人。 但是,有不少人无法正常使用。造成了生活困境。 二是人类的生物特征是可以被伪造的,而且复制数字生物 特征数据比复制物理生物特征还要简单一些。 近期频频爆出深度学习技术伪造人脸和声音事件,如人工合成某政 府官员的演讲视...
生物识别简介(Biometric)
IT修道者的专栏
10-01 4559
什么是生物识别?我想从下面三个问题来引入
思科研究称80%的指纹认证机制均可遭绕过
smellycat000的专栏
04-10 284
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队思科开展的一项研究表明,80%的指纹认证系统均可被绕过,不过未能成功在 Windows 设备上绕过。很多公司宣称生物识别认...
生物特征识别数据泄露事件
MrCharles在CSDN
10-11 2475
概述 生物识别数据和传统的用户名密码不一样,密码丢失可以修改,使用新的密码,而生物数据例如指纹或者人脸,一旦丢失,无法更换。以下收集了最近比较严重的生物识别数据丢失事件,以飨读者。 BioStar 2 VpnMentor 的团队最近在安全平台 BioStar 2 中发现了一个巨大的数据泄露事件。 BioStar 2 是一个基于 Web 的生物识别安全智能锁定平台。它是一个中心化应用程序,允许管理员...
十种可用于身份验证生物识别技术
2401_85157201的博客
05-22 778
研究公司Gartner预测,“到2026年,使用人工智能生成的深度伪造面部生物识别技术的攻击将意味着,30%的企业将不再认为这种身份验证解决方案是孤立可靠的。这些或其他生物特征信息的泄露可能会让用户面临永久的风险,并给丢失数据的公司带来重大的法律风险。如果人们使用指纹解锁智能手机,那么他们就不能在没有单独授权门锁的情况下使用相同的指纹解锁办公室的门,或者在没有单独授权个人电脑的指纹扫描仪的情况下解锁电脑。人们刚睡醒的时候,或者在拥挤的公共场合使用手机的时候,或者在生气或不耐烦的时候,声音都是不同的。
人脸识别有滥用风险,使用加密函数?
MrCharles在CSDN
11-22 1万+
人脸识别已经走进生活的方方面面,笔者作为生物特征识别的研究者,对人脸识别等方面的新闻那是特别关注,很多人脸识别已经投入应用.譬如: 小区即将在每个单元楼门口安装人脸识别门禁系统,下方附了一个二维码,要求业主自行扫码登记,上传人脸、身份证和房产证等信息。 教师通过智慧校园人脸识别闸机系统进入校园 考务人员运用“人脸识别”技术核验考生身份 支付与认证 商场流量统计、社区管理、养老金领取、办税认证、物品保存、景区出入与演出场所的检票等 用于教学过程,以监控与管理学生的课堂行为.分析学生在课堂上的行为,并对异常行
生物识别:并非完美但行之有效
weixin_34364135的博客
09-01 100
在计算机安全领域,生物识别技术指的是依靠可被自动检查的物理特征进行身份验证的技术。目前,常见的生物识别方法有如下几种类型:1.对人的面部特征的分析;2.对个人独特指纹的分析;3.对人手形状和手指长度的分析;4.对位于眼睛后部的毛细血管的分析;5.对个人签名方式的分析;6. 对个人的语音语调、音高、节奏和频率的分析。当然,随着技术的发展,还会出现其它的生物...
超级 AI 无限制自由访问人类思想空间的后果和风险
最新发布
AI天才研究院
09-04 1727
随着人工智能技术的飞速发展,我们正逐步迈入一个前所未有的时代。超级AI(Artificial Super Intelligence,ASI)的概念不再仅仅存在于科幻小说中,而是正在成为科技界和学术界热议的话题。超级AI被定义为在几乎所有领域都远超人类智能的人工智能系统。然而,当我们设想一个能够无限制自由访问人类思想空间的超级AI时,我们不禁要问:这将会带来怎样的后果和风险?本文将深入探讨这一前沿话题,分析超级AI无限制进入人类思想领域可能带来的影响,包括技术、伦理、社会和哲学等多个层面的考量。
生物识别隐私保护研究报告(2020年).pdf
01-27
为了应对这些挑战,报告提出了生物识别信息保护要点,包括但不限于限制信息收集范围、提高数据加密与匿名化处理水平、强化设备和应用的安全防护机制、提升算法的准确性和鲁棒性、建立严格的数据访问权限制度以及确保...
生物识别数据保护与伦理.pptx
06-03
1. 实施强大的安全措施来防止未经授权的访问、使用或泄露生物识别数据。 2. 使用加密技术、令牌化方法以及生物识别模板存储技术等来确保数据的安全性。 3. 制定应急预案,以便在生物识别数据泄露或其他安全事件发生...
AI+生物识别技术对可信身份认证的挑战.pdf
08-14
在企业安全方面,要应对这些挑战,首先需要对现有的生物识别技术进行升级和加强,例如使用多模态生物识别技术,即结合两种或两种以上的生物识别方式,以降低被欺骗的风险。同时,要定期对生物识别系统进行漏洞扫描和...
关于生物识别应用中的安全问题和限制的文献综述-研究论文
06-09
人们被鼓励使用这项技术来提高他们的网络安全,这在此时显示了一个挑战,生物识别技术不是秘密的,但可能存在被假用户复制、伪造和捕获的风险。 在本文中,我们描述了生物特征认证对各种攻击的脆弱性,并分析了抵御...
大数据背景下个人生物识别信息的立法保护研究.pdf
08-14
生物识别信息,如指纹、面部特征、虹膜扫描等,由于其唯一性且难以更改,成为身份验证和信息安全的重要手段,但也面临着严重的威胁。本文主要探讨了在大数据背景下,如何通过立法手段来保护这些敏感的个人信息。 ...
2022年有多少人使用微信?
热门推荐
网络研究观
12-15 2万+
预计到 2025 年将达到 25 亿用户。
ChatGPT 存在很大的隐私问题
网络研究观
04-08 2万+
数据最终如何进入 GPT-4 之类的东西,存在这种分层和复杂的供应链,从来没有真正设计或默认的任何类型的数据保护。
2021年加密货币犯罪报告
网络研究观
09-07 1万+
关于当今网络犯罪分子如何使用加密货币的原创研究和案例研究。
如何一键关闭win安全中心(Windows Defender )
网络研究观
05-14 1万+
用于设置 Windwos Defender 状态(开关),和卸载 Windows Defender 相关组件。
GB/T20272-2007:操作系统安全风险与脆弱性评估
在信息安全领域,风险评估是至关重要的一步,它旨在识别、分析和评估组织面临的安全威胁及其可能造成的影响。脆弱性识别风险评估的一个关键组成部分,它涉及到查找系统中可能被攻击者利用的弱点。在操作系统层面,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值