Forwarded from 科技圈🎗在花频道📮 (。。。)
安卓 / 鸿蒙手机的指纹可被暴力破解:只需 15 美元设备,腾讯和浙江大学新发现
腾讯安全玄武实验室和浙江大学的研究人员提出了一种名为“BrutePrint”的新攻击,该攻击可通过暴力破解安卓智能手机上的指纹,来绕过用户身份验证并控制设备。
暴力攻击依赖于破解代码、密钥或密码并获得对账户、系统或网络的未授权访问的多次反复试验。上述研究人员通过利用两个零日漏洞,即 Cancel-After-Match-Fail(CAMF)和 Match-After-Lock(MAL),并发现指纹传感器的串行外设接口(SPI)上的生物识别数据没有得到充分保护,允许中间人(MITM)攻击劫持指纹图像,从而破解手机指纹。
该论文已发表在 Arxiv.org 上,研究人员针对十种常见的智能手机进行了测试,在所有安卓和华为鸿蒙 HarmonyOS 设备上实现了无限次尝试破解指纹,在 iOS 设备上实现了十次额外尝试(共可尝试 15 次)。
论文称,BrutePrint 攻击的思路是向目标设备执行无限次的指纹图像提交,直到匹配到用户定义的指纹。攻击者需要对目标设备进行物理访问以发起 BrutePrint 攻击,访问可以从学术数据集或生物识别数据泄露中获取的指纹数据库,需要一个成本约为 15 美元的设备。
此外,研究人员通过 MAL 零日漏洞,成功绕过了解锁指纹的次数限制,因此在安卓 / 鸿蒙手机上可以无限次尝试解锁,并通过“neural style transfer”系统将数据库中的所有指纹图像转换为看起来像是目标设备的传感器扫描图像,因此可以不断靠近正确的指纹。
研究人员使用了 10 款设备进行破解测试,其中包括 6 款安卓手机,2 款华为鸿蒙手机,2 款苹果 iPhone。测试显示,所有设备都至少存在一个缺陷,而安卓和鸿蒙设备可以被无限次暴力破解。
实验表明,当用户在手机上注册了一个指纹时,针对易受攻击的设备成功完成 BrutePrint 所需的时间在 2.9 到 13.9 小时之间。 当用户在目标设备上注册多个指纹时,暴力破解时间会下降到仅 0.66 到 2.78 小时,因为生成匹配图像的可能性呈指数级增长。(IT之家)
腾讯安全玄武实验室和浙江大学的研究人员提出了一种名为“BrutePrint”的新攻击,该攻击可通过暴力破解安卓智能手机上的指纹,来绕过用户身份验证并控制设备。
暴力攻击依赖于破解代码、密钥或密码并获得对账户、系统或网络的未授权访问的多次反复试验。上述研究人员通过利用两个零日漏洞,即 Cancel-After-Match-Fail(CAMF)和 Match-After-Lock(MAL),并发现指纹传感器的串行外设接口(SPI)上的生物识别数据没有得到充分保护,允许中间人(MITM)攻击劫持指纹图像,从而破解手机指纹。
该论文已发表在 Arxiv.org 上,研究人员针对十种常见的智能手机进行了测试,在所有安卓和华为鸿蒙 HarmonyOS 设备上实现了无限次尝试破解指纹,在 iOS 设备上实现了十次额外尝试(共可尝试 15 次)。
论文称,BrutePrint 攻击的思路是向目标设备执行无限次的指纹图像提交,直到匹配到用户定义的指纹。攻击者需要对目标设备进行物理访问以发起 BrutePrint 攻击,访问可以从学术数据集或生物识别数据泄露中获取的指纹数据库,需要一个成本约为 15 美元的设备。
此外,研究人员通过 MAL 零日漏洞,成功绕过了解锁指纹的次数限制,因此在安卓 / 鸿蒙手机上可以无限次尝试解锁,并通过“neural style transfer”系统将数据库中的所有指纹图像转换为看起来像是目标设备的传感器扫描图像,因此可以不断靠近正确的指纹。
研究人员使用了 10 款设备进行破解测试,其中包括 6 款安卓手机,2 款华为鸿蒙手机,2 款苹果 iPhone。测试显示,所有设备都至少存在一个缺陷,而安卓和鸿蒙设备可以被无限次暴力破解。
实验表明,当用户在手机上注册了一个指纹时,针对易受攻击的设备成功完成 BrutePrint 所需的时间在 2.9 到 13.9 小时之间。 当用户在目标设备上注册多个指纹时,暴力破解时间会下降到仅 0.66 到 2.78 小时,因为生成匹配图像的可能性呈指数级增长。(IT之家)
😁15👍2❤1👀1
Forwarded from 硬核小卒
从 2023 年 1 月 1 日开始,美国加州要求雇员数大于 15 的公司披露每个发布的职位的薪资范围,而且其他州也在陆续跟上步伐,因为他们认为公开薪资可以进一步促进劳动公平。于是乎,现在就有这样的网站,专门做这方面数据的汇总:https://www.comprehensive.io (图一)
其实美国多个州在薪酬透明度方面都做得挺好的,比如说加州就搞了一个叫做「透明加州」的网站,专门用来展示各种职位的薪资数据,可以帮助民众在求职的时候做出明智的决定,目前已经收录了几千条薪酬数据,这些数据超级有价值。https://transparentcalifornia.com/salaries/all/ (图二)
在 Senior Software Engineer 的薪酬排行中,Roblox、Reddit、VMware 这几个居然非常靠前,这是我没有想到的,Roblox 给这个职位的最低薪酬都有 $218,540。(图三)
另外,有个叫做 Mashgin 的不知名创业公司,做自动结账系统的,他们给 SDE 开的工资是$500,000 - $1,000,000 a year,确实是有点厉害。(图四)
其实美国多个州在薪酬透明度方面都做得挺好的,比如说加州就搞了一个叫做「透明加州」的网站,专门用来展示各种职位的薪资数据,可以帮助民众在求职的时候做出明智的决定,目前已经收录了几千条薪酬数据,这些数据超级有价值。https://transparentcalifornia.com/salaries/all/ (图二)
在 Senior Software Engineer 的薪酬排行中,Roblox、Reddit、VMware 这几个居然非常靠前,这是我没有想到的,Roblox 给这个职位的最低薪酬都有 $218,540。(图三)
另外,有个叫做 Mashgin 的不知名创业公司,做自动结账系统的,他们给 SDE 开的工资是$500,000 - $1,000,000 a year,确实是有点厉害。(图四)
👍23👀2
东哥PLUS会员放水
刚需成本:99元
撸法:赠品任选向左滑
方案A: (39等价plus会员)
https://u.jd.com/OqL6joN
PS:联合会员已经出来了,预计这段时间又有很多折价会员出售可以留意。
刚需成本:99元
撸法:赠品任选向左滑
方案A: (39等价plus会员)
选60超市卡 相当于39元到手方案B(69等价plus会员)
plus会员年卡 历史最低好价了 可以本地超商送货上门(生活用品什么的撸)
直接30无门槛红包。消费PLUS会员权益:(买多省多)
10倍京豆回馈(100豆抵1元消费)好价,差不多过期可以上车
运费券(月定额送)
全品类满减券(月定额自领)
其余杂七杂八
https://u.jd.com/OqL6joN
PS:联合会员已经出来了,预计这段时间又有很多折价会员出售可以留意。
👍5👎3❤🔥2🥰1🎉1
This media is not supported in your browser
VIEW IN TELEGRAM
故事汇
缅甸🇲🇲北部诈骗园区,网传中国籍年轻人从18楼爬水管逃离诈骗园区
没有在晚上进行,被哨岗看到。楼下有枪。预计要被割了。🙏🏻
。
缅甸🇲🇲北部诈骗园区,网传中国籍年轻人从18楼爬水管逃离诈骗园区
没有在晚上进行,被哨岗看到。楼下有枪。预计要被割了。🙏🏻
。
😱42🤯3❤1💔1