然而,便捷的背后永遠(yuǎn)都留有讓人防不勝防的安全漏洞。在一項(xiàng)紐約大學(xué)和密歇根國立大學(xué)聯(lián)合發(fā)布的最新研究報告中指出,智能手機(jī)很容易被假的指紋識別所欺騙,這是由于人類的指紋中有很多根本性相似的特征。在研究實(shí)驗(yàn)中,研究人員已經(jīng)能夠開發(fā)出一套人工合成的超級“萬能指紋”(MasterPrints),可以解鎖目前智能手機(jī)65%的真人指紋識別。
盡管研究人員沒有將實(shí)驗(yàn)結(jié)果直接應(yīng)用于真實(shí)的手機(jī),一些安全專家也認(rèn)為在實(shí)際應(yīng)用環(huán)境中會遠(yuǎn)遠(yuǎn)低于65%的匹配率,但是這項(xiàng)研究還是引起了對于指紋識別這種高效的生物識別功能安全性的質(zhì)疑。
加拿大卡爾加里大學(xué)系統(tǒng)和計(jì)算機(jī)工程教授、生物識別安全系統(tǒng)專家AndyAdler就指出:“雖然可能人們的擔(dān)心有點(diǎn)被夸大了,但是安全隱患是絕對存在的。如果十次指紋支付中有一次被攻擊了,這樣的概率還是很大的。”
IEEE會員、IntegralPartners信息安全部門主任KayneMcGladrey對第一財(cái)經(jīng)記者表示:“理論上如果能獲取清晰度足夠高的指紋掃描樣本,就足以制作一組能被傳感器識別的指紋模具,而且這種情況甚至可以在人們完全不知情的情況下發(fā)生。”
McGladrey還對記者表示,在時間緊迫的情況下,不法分子和警察都可以利用這個方法迅速解鎖手機(jī),甚至不用知道這臺手機(jī)究竟屬于誰。“這種破解方式之所以可行,是因?yàn)榇蟛糠种讣y解鎖只錄用了部分的指紋,而且大部分用戶在設(shè)置時候會同時錄入2——4個不同的解鎖指紋,這使得破解的可能性大大提高了。”McGladrey說道。
理論上來說,人類的全指紋是很難被破解的,但是智能手機(jī)的指紋掃描因?yàn)榉浅P?,所以只能讀出一小部分指紋信息。當(dāng)人們在蘋果或者安卓系統(tǒng)上進(jìn)行指紋輸入驗(yàn)證掃描時,一般只有8——10張圖片被智能手機(jī)記錄,用于未來的指紋匹配。
通常人們在指紋解鎖時,只要與圖片中所存儲的一張吻合,就能解鎖手機(jī),這也是為什么這一系統(tǒng)容易受到攻擊的原因。“就好比你有30個密碼,攻擊者只需要說對一個就能開鎖一樣。”研究報告的三位作者之一,紐約大學(xué)工學(xué)院TandonSchool計(jì)算機(jī)工程系教授NasirMemon表示。
Memon還指出,人們只要去創(chuàng)建一個“萬能指紋”的手套,便能夠通過少于5次的嘗試,解鎖40%至50%的iPhone。不過蘋果方面表示,這樣的概率在五萬分之一。蘋果發(fā)言人RyanJames表示:“蘋果測試過不同的情形,而且還通過引入其他的安全性能來防止手機(jī)的假指紋風(fēng)險。”不過由于蘋果和谷歌(微博)的指紋技術(shù)大部分是保密的,因此風(fēng)險很難被量化。
美國聯(lián)邦政府情報前沿研究項(xiàng)目奧?。∣din)計(jì)劃負(fù)責(zé)人ChrisBoehnen博士表示,手機(jī)制造商可以通過更加復(fù)雜的識別技術(shù)降低手機(jī)被攻擊的風(fēng)險。“但是這樣會讓用戶感到不適應(yīng),比如他們需要按兩三次指紋才能解鎖手機(jī)。”Boehnen博士說道。
相比而言,硬件升級可能會更加有效地降低風(fēng)險。比如三星S8智能手機(jī)就使用了更大的指紋掃描傳感器,從而讓指紋錄入變得更加清晰,也更難被模仿。
McGladrey向第一財(cái)經(jīng)記者介紹道,加入監(jiān)測額外的生物識別特征數(shù)據(jù)如心率、體溫,也可以進(jìn)一步改良現(xiàn)有的解鎖方式。例如,早在1964年心臟科專家已經(jīng)發(fā)現(xiàn)每個人的心率都是獨(dú)一無二的,可以考慮利用PQRST波形心電圖特征解鎖設(shè)備。“但是目前,這還需要用戶佩戴額外的穿戴設(shè)備才得以實(shí)現(xiàn)。”McGladrey表示。
隨著生物識別技術(shù)在各種場景下的應(yīng)用越來越廣泛,犯罪分子也在開發(fā)新的假冒身份的技術(shù)。信息安全專家談劍峰對第一財(cái)經(jīng)記者表示:“盡管生物特征是每個人特有的,具有唯一性,但是任何技術(shù)只要大規(guī)模使用,尤其是非現(xiàn)場使用,一定會通過信息網(wǎng)絡(luò),只要通過信息網(wǎng)絡(luò),任何技術(shù)都要轉(zhuǎn)化成計(jì)算機(jī)能夠識別的0-1二進(jìn)制代碼,這就不具備唯一性了。”
McGladrey對第一財(cái)經(jīng)記者解釋道:“針對人臉識別的攻擊大多是通過高分辨率的圖像或視頻來騙過攝像頭感應(yīng)器,甚至利用Facebook上的照片、視頻多種角度合成某人的視頻,區(qū)別于2D面部識別。”
他還提到最近的WindowsHello技術(shù)通過增加紅外人臉掃描功能強(qiáng)化安全性能。“這個功能會給用戶創(chuàng)建一個3D圖像,而3D紅外圖像目前還很難被仿制。”McGladrey說道,“但是與指紋解鎖相似,用戶還是可能會被迫進(jìn)行人臉識別解鎖設(shè)備。因此,開發(fā)生物識別技術(shù)的公司還需要考慮加入遠(yuǎn)程清除遺失或者被盜設(shè)備數(shù)據(jù)的功能。”
01月07日 18:14
