您认为手机的指纹识别非常安全吗？

信息安全行业FireEye担心，不安全的指纹识别生态环境将使这种可终生验证的用户身份识别机制比密码更具危险性，并在上周举行的黑帽会议上展示了各种攻击技术。越来越多的具有指纹扫描和识别功能的移动设备。
根据Capsule的估计，到2019年，全球智能手机出货量的一半将具有内置指纹扫描仪。但是，信息安全行业FireEye担心，不安全的指纹识别生态环境将使这种可终生验证的用户身份识别机制比密码更具危险性。
在上周举行的黑帽大会（Black Hat 2015）上，展示了各种攻击技术。 FireEye认为，现代移动设备缺乏针对指纹的安全保护机制，从而导致出现指纹泄漏的风险，包括混淆的授权攻击，指纹数据存储漏洞，指纹扫描仪暴露漏洞以及预加载的指纹后门等。
从远程位置获取大量指纹的能力，那么这可能会成为信息安全的灾难！所谓的混淆授权攻击是使用户不清楚授权指纹识别的目的。 FireEye研究人员设计了一个应用程序来伪造手机的锁屏，然后要求用户使用指纹来解锁，但实际上该指纹是使用A证书进行货币交易的。
在指纹数据存储漏洞方面，例如FireEye发现HTC One Max上的指纹数据存储为每个人都可以访问的BMP图像文件。尽管图像文件的内容已更改，但黑客仍然可以轻松地重建正确的图像文件。
指纹图像意味着并非所有企业都能正确存储用户的指纹数据。 HTC在收到FireEye通知后已修补此漏洞。
最危险的可能是手机指纹扫描仪的漏洞。 ARM的安全体系结构设计使业界可以隔离某些重要设备，但是大多数制造商并未使用此功能来保护指纹扫描仪，从而使黑客能够访问指纹扫描仪并继续通过恶意程序在后台接收它。
来自此扫描仪的信息。研究人员还成功访问了HTC Max One和Samsung Galaxy S5上的指纹扫描仪，并且只要扫描仪运行，就可以获取指纹信息。
但是，HTC和三星都已修补了相关漏洞。在这种攻击情况下，Apple的Touch ID相对安全。
主要原因是Apple加密了从指纹扫描仪发送来的所有数据。即使黑客可以读取扫描仪，他们也必须获得加密密钥才能获得指纹图像。
黑客还可以在将手机移交给用户之前嵌入指纹后门，添加其指纹信息，并将其指纹用作设备的证书。许多信息安全专业人员长期以来一直对生物特征认证机制提出警告，指出在密码时代，当密码泄漏时，只需设置一个新密码，但是指纹泄漏是一个更大的灾难，因为指纹代表了用户的身份，包括犯罪记录，出入境记录，银行证明等。
FireEye建议所有平台都应改进指纹认证框架，以加强对指纹数据和指纹扫描仪的保护。它还建议用户定期更新其设备，并避免安装来自不安全来源的程序。