原標題:三星手機遭黑客“秒破”騙過S8手機虹膜識別
英國《衛(wèi)報》報道稱,這一手機在上市不到一個月時間內被曝出遭德國黑客輕松攻破。歐洲最大的黑客聯(lián)盟“混沌電腦俱樂部”近日發(fā)布視頻稱,三星手機“虹膜識別”這一安全性能,完全被“仿制的眼睛”給欺騙了,系統(tǒng)誤以為其是來自手機主人而自動解鎖。
其實,三星Note 7首次搭載了虹膜識別新科技,號稱比指紋還要安全數(shù)倍。不過在經(jīng)歷“爆炸門”事件后,這一新科技完全被“湮沒”。
“秒”被解鎖 照片造出“仿制眼”騙過S8手機虹膜識別
虹膜是位于眼睛黑色瞳孔和白色鞏膜之間的圓環(huán)狀部分,其包含有很多相互交錯的斑點、細絲、冠狀、條紋、隱窩等細節(jié)特征。虹膜在胎兒發(fā)育階段形成后,整個生命歷程中將是保持不變的。這些特征決定了虹膜特征的唯一性,同時也決定了身份識別的唯一性。因此,可以將眼睛的虹膜特征作為每個人的身份識別對象。
不過,“混沌電腦俱樂部”卻制造出“仿制眼”,讓看似高端的虹膜解鎖形同虛設。而且整個過程只需要一臺具有夜間攝影模式的傻瓜相機、一臺打印機以及一片能夠吻合眼睛弧度的隱形眼鏡。
“混沌電腦俱樂部”發(fā)布的視頻中,公布了具體的操作方法。黑客首先使用一部普通的索尼相機,在“夜間模式”下拍得機主眼睛的紅外照片。隨后將照片進行裁剪并打印。隨后,將隱形眼鏡放置在照片中的眼球位置,調整鏡片到適當?shù)幕《群?,最終成功騙過S8手機的虹膜識別。
《每日郵報》報道稱,整個破解過程只需要數(shù)分鐘就完成了。“混沌電腦俱樂部”的發(fā)言人德爾克·安格林格稱:“對使用者來說,眼睛暴露在外的幾率要比遺留指紋還高,因此虹膜識別給用戶帶來的安全風險甚至大于指紋識別。如果你重視手機上的數(shù)據(jù),特別是用于支付的信息,使用傳統(tǒng)的個人身份識別碼(PIN)保護認證,比使用身體特征的身份認證更安全”。
安格林格警告稱,一些情況下,來自網(wǎng)絡的一張高清照片就足以捕捉住一個人的虹膜。
公司回應 三星相同情況下示范試驗 復制破解結果“非常困難”
針對這一事件,三星發(fā)表評論稱,會對民間組織的破解方法進行調查。但其堅持認為,S8上的虹膜識別技術經(jīng)過了嚴密的論證,相當可靠安全。
一名三星發(fā)言人在接受《每日郵報》采訪時稱,S8中的虹膜識別技術是經(jīng)過大量測試,提供了高水平的精確度,避免任何攻破其安全性的嘗試手段,例如使用一個人虹膜的照片。
三星發(fā)言人稱,使用正常照片中的虹膜是不可能的,無論分辨率多高,都不足以欺騙過這一安全性能。如果這一技術存在潛在的脆弱性,或是有新的手段出現(xiàn)來挑戰(zhàn)其安全性,公司將會盡可能快速地反應并解決問題。
時隔一天,三星又一次站出來,再次就S8上的虹膜識別技術被民間組織破解一事回應,強調這種方法在實際使用中是不現(xiàn)實的,難以復現(xiàn)。
在一份聲明中,三星指出上述破解方法在實際應用中難以實現(xiàn),因為你需要拿到可以捕捉紅外光的相機,對機主虹膜進行高分辨的捕捉,再打印照片,偷來機主手機,最后借助隱形眼鏡解鎖。
三星稱,在現(xiàn)實中,整個場景都很難實現(xiàn)。三星在相同情況下進行了示范,但是要復制上述結果“非常困難”。
不過,這位三星發(fā)言人提醒用戶,如果你對數(shù)據(jù)很在意,并有移動支付習慣的話,數(shù)字Pin密碼比任何生物識別技術都要靠譜。
早被質疑 S8手機臉部識別功能被攻破 黑客:不要用生物特征識別
三星S8同時裝載有臉部識別功能。但是《衛(wèi)報》指出,這一安全性能甚至在手機還未正式開賣前就已經(jīng)被攻破,其很容易被打印出來的機主的照片所愚弄,攻破起來十分簡單。
對此,《每日郵報》稱,三星已經(jīng)承認這一缺陷,并解釋稱人臉識別技術并不是一個安全性能,只是作為解鎖主屏幕的另外一種方式。
報道指出,在生物識別市場,三星幾乎以一己之力推動虹膜識別技術的普及。在市場營銷材料中,三星宣稱每個人虹膜中的圖案是獨一無二的,幾乎不可能去復制,這意味著這一虹膜識別系統(tǒng)是保護手機內容私密性最安全的方式之一。但是很多人都想知道這種技術到底是否真正安全。
而此次“混沌電腦俱樂部”披露的內容,更是引發(fā)人們對生物識別性能安全性的討論。盡管生物識別更加方便,相比于密碼也更難去盜取和造假,但是其也有利有弊。如果一旦手機被盜或是被黑客侵入的話,用戶就無法改變這一安全性能。
報道稱,擁有35年歷史的黑客組織“混沌電腦俱樂部”長期以來警告人們不要使用生物特征識別。其慣用技術手段揭露科技產(chǎn)品中生物識別系統(tǒng)的漏洞,讓科技巨頭十分尷尬。約在十年前,該組織成功從玻璃表面“盜取”時任德國財政部長沃爾夫岡·舒伊布勒的指紋。當時該組織在網(wǎng)絡上將部長指紋公布,以此抗議德國政府在電子護照中儲存德國人指紋信息。而早前在蘋果推出其Touch ID指紋后,這一組織48小時內就將其攻破更是聲名大噪。
專家解讀
如何看待黑客“秒破”識別系統(tǒng)?
網(wǎng)絡安全咨詢公司浪石(WAVESTONE)香港負責人沙迪·安杜什(Chadi HANTOUCHE)接受記者采訪時表示,“混沌電腦俱樂部”的黑客非常知名,為世界級別有經(jīng)驗的黑客。實施這一攻擊的是一個特定的工作隊伍。他們專門從事生物識別技術的攻擊。攻破生物識別技術對他們來說并不新穎。數(shù)年前,他們就已經(jīng)能夠盜取時任德國財政部長沃爾夫岡·舒伊布勒的指紋。
安杜什稱,三星的這一系統(tǒng)的被攻破,很有可能說明三星缺乏對這一系統(tǒng)測試。在確保其安全性之前,三星可能太急于發(fā)布這一性能。出現(xiàn)這一問題可能是與識別計算程序的“薄弱性”等原因有關。現(xiàn)在需要看三星是否會發(fā)布一個補丁快速解決這一事情。
虹膜識別存在哪些安全風險?
安杜什表示,直接的風險就是(入侵者)能夠直接進入到手機中,因此能夠獲取用戶諸如電子郵件、個人資料(文件、圖片和私人信息)等用戶數(shù)據(jù)。除此之外,訪問獲取儲存在手機中的生物識別數(shù)據(jù)(虹膜識別數(shù)據(jù))還存在一個潛在的風險,那就是這些數(shù)據(jù)可能被重新利用于其他地方。
業(yè)界對這一技術是何看法?
生物識別已經(jīng)被網(wǎng)絡安全專家討論了數(shù)十年。但是現(xiàn)在大家都同意的一個觀點就是,生物識別不是秘密,它能夠在很多文件和圖片中被找到。數(shù)年前,指紋識別系統(tǒng)似乎出現(xiàn)在所有的手機之中(例如蘋果和三星的品牌手機)。但是這一事實是令人害怕的,特別是在“混沌俱樂部”宣稱盜取了德國部長的指紋后。
而虹膜識別甚至更容易成為攻擊的目標,因為人們不常在照片中看到人們的手指,但是卻經(jīng)??吹剿麄兊难劬?。“我們可以看到數(shù)碼相機分辨率越來越高,照片也越來越高清,虹膜和指紋能夠被很清楚地捕捉到。”
用戶怎樣避免信息泄露?
安杜什稱,即便這些攻擊看似不是非常復雜,但是需要獲取某人虹膜的高清圖片,然后打印,此后還需要拿到用戶的手機。這些攻擊都不能遠程操作。因此也降低了風險。
對于如何避免這些風險,從短期來講,用戶可以啟用S8上的虹膜識別性能,轉化為更加秘密的認證方法。這些方法可以在手機丟失或是密碼、Pin數(shù)字密碼、解鎖模式被盜后重置或是更改。此外,用戶可以讓手機保持系統(tǒng)更新。黑客發(fā)布的破解流程:
1、使用相機夜間攝影模式,拍張機主臉部照片
2、擷取一邊眼睛的區(qū)域圖片,打印在一張紙上
3、將一片隱形眼鏡放到照片上的眼珠部位
4、進入S8鎖定畫面,讓手機前鏡頭掃描此影像即可解鎖
01月07日 18:14
