研究人员发现，由于安卓手机的信息安全保护机制不够强大，导致黑客现在可以从安卓手机的指纹传感器中远程提取指纹数据了，这将给安卓手机的移动支付验证功能带来前所未有的安全风险。安卓设备安全漏洞的数量正在不断地增长，再加上现在又出现了这个生物识别技术的安全漏洞，这一切就导致谷歌公司不得不按月向Nexus手机的用户们推送安全更新补丁了。

安全专家Tao Wei和Yulong Zhang将会在今天的黑帽黑客大会上，把他们在安卓手机指纹传感器中发现的安全漏洞公之于众。研究人员说到：“目前，安卓设备中的指纹识别框架存在严重的安全问题，安卓手机的制造商和用户们长期以来都忽略了这个严重的安全问题。”

他们就目前安卓系统的设计方案，提出了三个目前出现的具体安全问题。其中一个问题就是混乱授权攻击，这个设计缺陷能够允许恶意软件绕过由指纹识别系统所保护的支付验证功能。他们还特别强调了存在于ARM TrustZone硬件安全框架中的设计缺陷，这个漏洞允许攻击者发动指纹传感器间谍攻击，攻击成功之后，黑客便能够获取存储在安卓设备中的指纹数据了，并且还可以在系统中植入指纹后门。

研究人员称：“受此漏洞影响的设备制造商在被告知这个安全问题之后，便开始向用户提供更新补丁了。”“指纹不同于密码，指纹会终生伴随一个用户，而且指纹数据通常可以关联到一个人的关键身份信息。”研究人员还表示：“因此，指纹系统的安全漏洞给用户带来的损失将是无法挽回的。如果攻击者能够大范围地远程获取存储在安卓设备中的指纹数据，那将会是一场可怕的灾难。”

目前，三星、摩托罗拉、华为、Oppo、以及HTC公司所销售的安卓设备均配备有指纹传感器。三星公司为旗下的Galaxy S6设备采用了增强型的ARM TrustZone完整管理架构(TIMA)。最近，谷歌公司向外界发布了关于新版安卓系统的相关信息-Android M，这个新版的安卓系统将首次采用系统级别的指纹识别器。

近期不断增长的漏洞数量促使谷歌公司不得不将其工作重心转移到设备的安全性之上。现在，谷歌公司每个月都会向Nexus系列的安卓手机推送安全更新，这些安全补丁能够提升安卓手机的安全性能。今天，谷歌公司向用户推送了第一批升级补丁，其中就包括一个能够修复Stagefright漏洞的补丁，这个危险的漏洞在上个月被公布了出来。

目前，被发现的安卓漏洞数量越来越多了，而公司的这一举动正是为了应对目前的这种现状：仅在过去的几个月时间内，研究人员就发现了这个名为Stagefright的漏洞，这个漏洞被归类为一种拒绝服务漏洞，这个漏洞可以使安卓设备沦为黑客的盘中餐。除此之外，研究人员还在安卓系统的恢复出厂设置功能中发现了漏洞，这个漏洞会导致用户无法完全清除手机中的数据，而且这些被清除的数据还可以进行恢复。这种新型的更新推送政策意味着，无论是刚上市的Nexus设备，还是已经出售了超过18个月的Nexus设备，在两年内都能够接收到主要的系统更新以及安全补丁推送。

谷歌公司还会将更新软件的源代码通过安卓开源项目公布出来。这也就意味着，亚马逊的Fire OS平板电脑同样能够获取到相应的更新补丁。公司还将在今后的三年内，每个月向其OEM合作伙伴(例如三星公司以及HTC)提供安全公告。然而，三星公司在今天宣布，公司将会采用一种新型的方法快速地向用户推送安全更新补丁，而且公司每个月都会给他们的用户提供相应的更新程序。近期他们会采用这种新型的推送方法向公司旗下的Galaxy设备推送能够修复Stagefright漏洞的安全补丁。

三星公司移动设备研发部门的主管Dong Jin Koh在一份声明中说到：“鉴于近期所发现的安全问题，我们不得不重新审视安全更新的推送方式了，因为就目前的状况来看，我们的设备需要更加及时地获取到这些更新补丁。”

他还补充说到：“由于黑客总能想到各种各样的方法去利用软件中的漏洞，所以我们必须开发出一种能够快速向我们的移动设备推送安全更新补丁的方法，因为这种快速响应处理对于保护设备安全性来说是非常关键的。我们相信，这种新型的处理方法将会在很大程度上提升我们设备的安全性，而且也能够很大程度地提升移动设备用户的体验度。”

(责任编辑：腰编辑)