現(xiàn)代社會(huì)中,指紋識(shí)別功能讓智能手機(jī)變得奇跡般方便。只需輕輕一按就能解鎖,實(shí)現(xiàn)支付,無(wú)需輸入密碼。從網(wǎng)店里一包小小的零食,到一臺(tái)筆記本電腦,甚至是價(jià)值100萬(wàn)美元的阿斯通-馬丁復(fù)古跑車(chē),都可以用指紋支付來(lái)解決。在一些銀行的App應(yīng)用中,用指紋識(shí)別還可以支付賬單,進(jìn)行上萬(wàn)美元的轉(zhuǎn)賬等等。
然而,便捷的背后永遠(yuǎn)都留有讓人防不甚防的安全漏洞。在一項(xiàng)紐約大學(xué)和密歇根國(guó)立大學(xué)聯(lián)合發(fā)布的最新研究報(bào)告中指出,智能手機(jī)很容易被假的指紋識(shí)別所欺騙,這是由于人類(lèi)的指紋中有很多根本性相似的特征。在研究實(shí)驗(yàn)中,研究人員已經(jīng)能夠開(kāi)發(fā)出一套人工合成的超級(jí)“萬(wàn)能指紋”(MasterPrints),可以解鎖目前智能手機(jī)65%的真人指紋識(shí)別。
盡管研究人員沒(méi)有將實(shí)驗(yàn)結(jié)果直接應(yīng)用于真實(shí)的手機(jī),一些安全專(zhuān)家也認(rèn)為在實(shí)際應(yīng)用環(huán)境中會(huì)遠(yuǎn)遠(yuǎn)低于65%的匹配率,但是這項(xiàng)研究還是引起了對(duì)于指紋識(shí)別這種高效的生物識(shí)別功能安全性的質(zhì)疑。
加拿大卡爾加里大學(xué)系統(tǒng)和計(jì)算機(jī)工程教授、生物識(shí)別安全系統(tǒng)專(zhuān)家Andy Adler就指出:“雖然可能人們的擔(dān)心有點(diǎn)被夸大了,但是安全隱患是絕對(duì)存在的。如果十次指紋支付中有一次被攻擊了,這樣的概率還是很大的。”
IEEE會(huì)員、Integral Partners信息安全部門(mén)主任Kayne McGladrey對(duì)第一財(cái)經(jīng)記者表示:“理論上如果能獲取清晰度足夠高的指紋掃描樣本,就足以制作一組能被傳感器識(shí)別的指紋模具,而且這種情況甚至可以在人們完全不知情的情況下發(fā)生。”
McGladrey還對(duì)記者表示,在時(shí)間緊迫的情況下,不法分子和警察都可以利用這個(gè)方法迅速解鎖手機(jī),甚至不用知道這臺(tái)手機(jī)究竟屬于誰(shuí)的。“這種破解方式之所以可行,是因?yàn)榇蟛糠种讣y解鎖只錄用了部分的指紋,而且大部分用戶(hù)在設(shè)置時(shí)候會(huì)同時(shí)錄入2-4個(gè)不同的解鎖指紋,這使得破解的可能性大大提高了。” McGladrey說(shuō)道。
理論上來(lái)說(shuō),人類(lèi)的全指紋是很難被破解的,但是智能手機(jī)的指紋掃描因?yàn)榉浅P?,所以只能讀出一小部分指紋信息。當(dāng)人們?cè)谔O(píng)果或者安卓系統(tǒng)上進(jìn)行指紋輸入驗(yàn)證掃描時(shí),一般只有8-10張圖片被智能手機(jī)記錄,用于未來(lái)的指紋匹配。
通常人們?cè)谥讣y解鎖時(shí),只要指紋與圖片中所存儲(chǔ)的一張吻合,就能解鎖手機(jī),這也是為什么這一系統(tǒng)容易受到攻擊的原因。“就好比你有30個(gè)密碼,攻擊者只需要說(shuō)對(duì)一個(gè)就能開(kāi)鎖一樣。”研究報(bào)告的三位作者之一,紐約大學(xué)工學(xué)院Tandon School計(jì)算機(jī)工程系教授Nasir Memon表示。
Memon還指出,人們只要去創(chuàng)建一個(gè)“萬(wàn)能指紋”的手套,便能夠通過(guò)少于5次的嘗試,解鎖40%至50%的iPhone。不過(guò)蘋(píng)果方面表示,這樣的概率在五萬(wàn)分之一。蘋(píng)果發(fā)言人Ryan James表示:“蘋(píng)果測(cè)試過(guò)不同的情形,而且還通過(guò)引入其它的安全性能來(lái)防止手機(jī)的假指紋風(fēng)險(xiǎn)。”不過(guò)由于蘋(píng)果和谷歌的指紋技術(shù)大部分是保密的,因此風(fēng)險(xiǎn)很難被量化。
美國(guó)聯(lián)邦政府情報(bào)前沿研究項(xiàng)目奧丁(Odin)計(jì)劃負(fù)責(zé)人Chris Boehnen博士表示,手機(jī)制造商可以通過(guò)更加復(fù)雜的識(shí)別技術(shù)降低手機(jī)被攻擊的風(fēng)險(xiǎn)。“但是這樣會(huì)讓用戶(hù)感到不適應(yīng),比如他們需要按兩三次指紋才能解鎖手機(jī)。”Boehnen博士說(shuō)道。
相比而言,通過(guò)硬件升級(jí)的方法可能會(huì)更加有效地降低風(fēng)險(xiǎn)。比如三星S8智能手機(jī)就使用了更大的指紋掃描傳感器,從而讓指紋錄入變得更加清晰,也更難被模仿。
McGladrey向第一財(cái)經(jīng)記者介紹道,加入監(jiān)測(cè)額外的生物識(shí)別特征數(shù)據(jù)如心率、體溫,也可以進(jìn)一步改良現(xiàn)有的解鎖方式。例如,早在1964年心臟科專(zhuān)家已經(jīng)發(fā)現(xiàn)每個(gè)人的心率都是獨(dú)一無(wú)二的,可以考慮利用PQRST波形心電圖特征解鎖設(shè)備。“但是目前,這還需要用戶(hù)佩戴額外的穿戴設(shè)備才得以實(shí)現(xiàn)。” McGladrey表示。
隨著生物識(shí)別技術(shù)在各種場(chǎng)景下的應(yīng)用越來(lái)越廣泛,犯罪分子也在開(kāi)發(fā)新的假冒身份的技術(shù)。信息安全專(zhuān)家談劍峰對(duì)第一財(cái)經(jīng)記者表示:“盡管生物特征是每個(gè)人特有的,具有唯一性,但是任何技術(shù)只要大規(guī)模使用,尤其是非現(xiàn)場(chǎng)使用,一定會(huì)通過(guò)信息網(wǎng)絡(luò),只要通過(guò)信息網(wǎng)絡(luò),任何技術(shù)都要轉(zhuǎn)化成計(jì)算機(jī)能夠識(shí)別的0-1二進(jìn)制代碼,這就不具備唯一性了。”
McGladrey對(duì)記者解釋道:“針對(duì)人臉識(shí)別的攻擊大多是通過(guò)高分辨率的圖像或視頻來(lái)騙過(guò)攝像頭感應(yīng)器,甚至利用Facebook上的照片、視頻多種角度合成某人的視頻,區(qū)別于2D面部識(shí)別。”
他還提到最近的Windows Hello技術(shù)通過(guò)增加紅外人臉掃描功能強(qiáng)化安全性能。“這個(gè)功能會(huì)給用戶(hù)創(chuàng)建一個(gè)3D圖像,而3D紅外圖像目前還很難被仿制。” McGladrey說(shuō)道,“但是與指紋解鎖相似,用戶(hù)還是可能會(huì)被迫進(jìn)行人臉識(shí)別解鎖設(shè)備。因此,開(kāi)發(fā)生物識(shí)別技術(shù)的公司還需要考慮加入遠(yuǎn)程清楚遺失或者被盜設(shè)備數(shù)據(jù)的功能。”
01月07日 18:14
