人工合成“超级指纹” 可轻易黑掉智能手机

现代社会中,指纹识别功能让智能手机变得奇迹般方便。只需轻轻一按就能解锁,实现支付,无需输入密码。从网店里一包小小的零食,到一台笔记本电脑,甚至是价值100万美元的阿斯通-马丁复古跑车,都可以用指纹支付来解决。在一些银行的App应用中,用指纹识别还可以支付账单,进行上万美元的转账等等。

人工合成“超级指纹” 可轻易黑掉<a href=/mobile/ target=_blank class=infotextkey>智能手机</a>
人工合成“超级指纹” 可轻易黑掉智能手机

然而,便捷的背后永远都留有让人防不胜防的安全漏洞。在一项纽约大学和密歇根国立大学联合发布的最新研究报告中指出,智能手机很容易被假的指纹识别所欺骗,这是由于人类的指纹中有很多根本性相似的特征。在研究实验中,研究人员已经能够开发出一套人工合成的超级“万能指纹”(MasterPrints),可以解锁目前智能手机65%的真人指纹识别。

尽管研究人员没有将实验结果直接应用于真实的手机,一些安全专家也认为在实际应用环境中会远远低于65%的匹配率,但是这项研究还是引起了对于指纹识别这种高效的生物识别功能安全性的质疑。

加拿大卡尔加里大学系统和计算机工程教授、生物识别安全系统专家AndyAdler就指出:“虽然可能人们的担心有点被夸大了,但是安全隐患是绝对存在的。如果十次指纹支付中有一次被攻击了,这样的概率还是很大的。

IEEE会员、IntegralPartners信息安全部门主任KayneMcGladrey对第一财经记者表示:“理论上如果能获取清晰度足够高的指纹扫描样本,就足以制作一组能被传感器识别的指纹模具,而且这种情况甚至可以在人们完全不知情的情况下发生。”

McGladrey还对记者表示,在时间紧迫的情况下,不法分子和警察都可以利用这个方法迅速解锁手机,甚至不用知道这台手机究竟属于谁。“这种破解方式之所以可行,是因为大部分指纹解锁只录用了部分的指纹,而且大部分用户在设置时候会同时录入2~4个不同的解锁指纹,这使得破解的可能性大大提高了。”McGladrey说道。

理论上来说,人类的全指纹是很难被破解的,但是智能手机的指纹扫描因为非常小,所以只能读出一小部分指纹信息。当人们在苹果或者安卓系统上进行指纹输入验证扫描时,一般只有8~10张图片被智能手机记录,用于未来的指纹匹配。

通常人们在指纹解锁时,只要与图片中所存储的一张吻合,就能解锁手机,这也是为什么这一系统容易受到攻击的原因。“就好比你有30个密码,攻击者只需要说对一个就能开锁一样。”研究报告的三位作者之一,纽约大学工学院TandonSchool计算机工程系教授NasirMemon表示。

Memon还指出,人们只要去创建一个“万能指纹”的手套,便能够通过少于5次的尝试,解锁40%至50%的iPhone。不过苹果方面表示,这样的概率在五万分之一。苹果发言人RyanJames表示:“苹果测试过不同的情形,而且还通过引入其他的安全性能来防止手机的假指纹风险。”不过由于苹果和谷歌的指纹技术大部分是保密的,因此风险很难被量化。

美国联邦政府情报前沿研究项目奥丁(Odin)计划负责人ChrisBoehnen博士表示,手机制造商可以通过更加复杂的识别技术降低手机被攻击的风险。“但是这样会让用户感到不适应,比如他们需要按两三次指纹才能解锁手机。”Boehnen博士说道。

相比而言,硬件升级可能会更加有效地降低风险。比如三星S8智能手机就使用了更大的指纹扫描传感器,从而让指纹录入变得更加清晰,也更难被模仿。

McGladrey向第一财经记者介绍道,加入监测额外的生物识别特征数据如心率、体温,也可以进一步改良现有的解锁方式。例如,早在1964年心脏科专家已经发现每个人的心率都是独一无二的,可以考虑利用PQRST波形心电图特征解锁设备。“但是目前,这还需要用户佩戴额外的穿戴设备才得以实现。”McGladrey表示。

随着生物识别技术在各种场景下的应用越来越广泛,犯罪分子也在开发新的假冒身份的技术。信息安全专家谈剑峰对第一财经记者表示:“尽管生物特征是每个人特有的,具有唯一性,但是任何技术只要大规模使用,尤其是非现场使用,一定会通过信息网络,只要通过信息网络,任何技术都要转化成计算机能够识别的0-1二进制代码,这就不具备唯一性了。”

McGladrey对第一财经记者解释道:“针对人脸识别的攻击大多是通过高分辨率的图像或视频来骗过摄像头感应器,甚至利用Facebook上的照片、视频多种角度合成某人的视频,区别于2D面部识别。”

他还提到最近的WindowsHello技术通过增加红外人脸扫描功能强化安全性能。“这个功能会给用户创建一个3D图像,而3D红外图像目前还很难被仿制。”McGladrey说道,“但是与指纹解锁相似,用户还是可能会被迫进行人脸识别解锁设备。因此,开发生物识别技术的公司还需要考虑加入远程清除遗失或者被盗设备数据的功能。”