現(xiàn)代社會中,指紋識別功能讓智能手機變得奇跡般方便。只需輕輕一按就能解鎖,實現(xiàn)支付,無需輸入密碼。從網(wǎng)店里一包小小的零食,到一臺筆記本電腦,甚至是價值100萬美元的阿斯通-馬丁復(fù)古跑車,都可以用指紋支付來解決。在一些銀行的App應(yīng)用中,用指紋識別還可以支付賬單,進行上萬美元的轉(zhuǎn)賬等等。
然而,便捷的背后永遠都留有讓人防不勝防的安全漏洞。在一項紐約大學(xué)和密歇根國立大學(xué)聯(lián)合發(fā)布的最新研究報告中指出,智能手機很容易被假的指紋識別所欺騙,這是由于人類的指紋中有很多根本性相似的特征。在研究實驗中,研究人員已經(jīng)能夠開發(fā)出一套人工合成的超級"萬能指紋"(MasterPrints),可以解鎖目前智能手機65%的真人指紋識別。
盡管研究人員沒有將實驗結(jié)果直接應(yīng)用于真實的手機,一些安全專家也認為在實際應(yīng)用環(huán)境中會遠遠低于65%的匹配率,但是這項研究還是引起了對于指紋識別這種高效的生物識別功能安全性的質(zhì)疑。
加拿大卡爾加里大學(xué)系統(tǒng)和計算機工程教授、生物識別安全系統(tǒng)專家AndyAdler就指出:"雖然可能人們的擔(dān)心有點被夸大了,但是安全隱患是絕對存在的。如果十次指紋支付中有一次被攻擊了,這樣的概率還是很大的。"
IEEE會員、IntegralPartners信息安全部門主任KayneMcGladrey對第一財經(jīng)記者表示:"理論上如果能獲取清晰度足夠高的指紋掃描樣本,就足以制作一組能被傳感器識別的指紋模具,而且這種情況甚至可以在人們完全不知情的情況下發(fā)生。"
McGladrey還對記者表示,在時間緊迫的情況下,不法分子和警察都可以利用這個方法迅速解鎖手機,甚至不用知道這臺手機究竟屬于誰。"這種破解方式之所以可行,是因為大部分指紋解鎖只錄用了部分的指紋,而且大部分用戶在設(shè)置時候會同時錄入2~4個不同的解鎖指紋,這使得破解的可能性大大提高了。"McGladrey說道。
理論上來說,人類的全指紋是很難被破解的,但是智能手機的指紋掃描因為非常小,所以只能讀出一小部分指紋信息。當(dāng)人們在蘋果或者安卓系統(tǒng)上進行指紋輸入驗證掃描時,一般只有8~10張圖片被智能手機記錄,用于未來的指紋匹配。
通常人們在指紋解鎖時,只要與圖片中所存儲的一張吻合,就能解鎖手機,這也是為什么這一系統(tǒng)容易受到攻擊的原因。"就好比你有30個密碼,攻擊者只需要說對一個就能開鎖一樣。"研究報告的三位作者之一,紐約大學(xué)工學(xué)院TandonSchool計算機工程系教授NasirMemon表示。
Memon還指出,人們只要去創(chuàng)建一個"萬能指紋"的手套,便能夠通過少于5次的嘗試,解鎖40%至50%的iPhone。不過蘋果方面表示,這樣的概率在五萬分之一。蘋果發(fā)言人RyanJames表示:"蘋果測試過不同的情形,而且還通過引入其他的安全性能來防止手機的假指紋風(fēng)險。"不過由于蘋果和谷歌(微博)的指紋技術(shù)大部分是保密的,因此風(fēng)險很難被量化。
美國聯(lián)邦政府情報前沿研究項目奧丁(Odin)計劃負責(zé)人ChrisBoehnen博士表示,手機制造商可以通過更加復(fù)雜的識別技術(shù)降低手機被攻擊的風(fēng)險。"但是這樣會讓用戶感到不適應(yīng),比如他們需要按兩三次指紋才能解鎖手機。"Boehnen博士說道。
相比而言,硬件升級可能會更加有效地降低風(fēng)險。比如三星S8智能手機就使用了更大的指紋掃描傳感器,從而讓指紋錄入變得更加清晰,也更難被模仿。
McGladrey向第一財經(jīng)記者介紹道,加入監(jiān)測額外的生物識別特征數(shù)據(jù)如心率、體溫,也可以進一步改良現(xiàn)有的解鎖方式。例如,早在1964年心臟科專家已經(jīng)發(fā)現(xiàn)每個人的心率都是獨一無二的,可以考慮利用PQRST波形心電圖特征解鎖設(shè)備。"但是目前,這還需要用戶佩戴額外的穿戴設(shè)備才得以實現(xiàn)。"McGladrey表示。
隨著生物識別技術(shù)在各種場景下的應(yīng)用越來越廣泛,犯罪分子也在開發(fā)新的假冒身份的技術(shù)。信息安全專家談劍峰對第一財經(jīng)記者表示:"盡管生物特征是每個人特有的,具有唯一性,但是任何技術(shù)只要大規(guī)模使用,尤其是非現(xiàn)場使用,一定會通過信息網(wǎng)絡(luò),只要通過信息網(wǎng)絡(luò),任何技術(shù)都要轉(zhuǎn)化成計算機能夠識別的0-1二進制代碼,這就不具備唯一性了。"
McGladrey對第一財經(jīng)記者解釋道:"針對人臉識別的攻擊大多是通過高分辨率的圖像或視頻來騙過攝像頭感應(yīng)器,甚至利用Facebook上的照片、視頻多種角度合成某人的視頻,區(qū)別于2D面部識別。"
他還提到最近的WindowsHello技術(shù)通過增加紅外人臉掃描功能強化安全性能。"這個功能會給用戶創(chuàng)建一個3D圖像,而3D紅外圖像目前還很難被仿制。"McGladrey說道,"但是與指紋解鎖相似,用戶還是可能會被迫進行人臉識別解鎖設(shè)備。因此,開發(fā)生物識別技術(shù)的公司還需要考慮加入遠程清除遺失或者被盜設(shè)備數(shù)據(jù)的功能。"
更多資訊請關(guān)注傳感器頻道