現代社會中,指紋識別功能讓智慧手機變得奇蹟般方便。只需輕輕一按就能解鎖,實現支付,無需輸入密碼。從網店裡一包小小的零食,到一臺筆記本電腦,甚至是價值100萬美元的阿斯通-馬丁復古跑車,都可以用指紋支付來解決。在一些銀行的App應用中,用指紋識別還可以支付賬單,進行上萬美元的轉賬等等。
人工合成“超級指紋” 可輕易黑掉智慧手機
然而,便捷的背後永遠都留有讓人防不勝防的安全漏洞。在一項紐約大學和密歇根國立大學聯合釋出的最新研究報告中指出,智慧手機很容易被假的指紋識別所欺騙,這是由於人類的指紋中有很多根本性相似的特徵。在研究實驗中,研究人員已經能夠開發出一套人工合成的超級“萬能指紋”(MasterPrints),可以解鎖目前智慧手機65%的真人指紋識別。
儘管研究人員沒有將實驗結果直接應用於真實的手機,一些安全專家也認為在實際應用環境中會遠遠低於65%的匹配率,但是這項研究還是引起了對於指紋識別這種高效的生物識別功能安全性的質疑。
加拿大卡爾加里大學系統和計算機工程教授、生物識別安全系統專家AndyAdler就指出:“雖然可能人們的擔心有點被誇大了,但是安全隱患是絕對存在的。如果十次指紋支付中有一次被攻擊了,這樣的機率還是很大的。”
IEEE會員、IntegralPartners資訊保安部門主任KayneMcGladrey對第一財經記者表示:“理論上如果能獲取清晰度足夠高的指紋掃描樣本,就足以製作一組能被感測器識別的指紋模具,而且這種情況甚至可以在人們完全不知情的情況下發生。”
McGladrey還對記者表示,在時間緊迫的情況下,不法分子和警察都可以利用這個方法迅速解鎖手機,甚至不用知道這臺手機究竟屬於誰。“這種破解方式之所以可行,是因為大部分指紋解鎖只錄用了部分的指紋,而且大部分使用者在設定時候會同時錄入2~4個不同的解鎖指紋,這使得破解的可能性大大提高了。”McGladrey說道。
理論上來說,人類的全指紋是很難被破解的,但是智慧手機的指紋掃描因為非常小,所以只能讀出一小部分指紋資訊。當人們在蘋果或者安卓系統上進行指紋輸入驗證掃描時,一般只有8~10張圖片被智慧手機記錄,用於未來的指紋匹配。
通常人們在指紋解鎖時,只要與圖片中所儲存的一張吻合,就能解鎖手機,這也是為什麼這一系統容易受到攻擊的原因。“就好比你有30個密碼,攻擊者只需要說對一個就能開鎖一樣。”研究報告的三位作者之一,紐約大學工學院TandonSchool計算機工程系教授NasirMemon表示。
Memon還指出,人們只要去建立一個“萬能指紋”的手套,便能夠透過少於5次的嘗試,解鎖40%至50%的iPhone。不過蘋果方面表示,這樣的機率在五萬分之一。蘋果發言人RyanJames表示:“蘋果測試過不同的情形,而且還透過引入其他的安全效能來防止手機的假指紋風險。”不過由於蘋果和谷歌的指紋技術大部分是保密的,因此風險很難被量化。
美國聯邦政府情報前沿研究專案奧丁(Odin)計劃負責人ChrisBoehnen博士表示,手機制造商可以透過更加複雜的識別技術降低手機被攻擊的風險。“但是這樣會讓使用者感到不適應,比如他們需要按兩三次指紋才能解鎖手機。”Boehnen博士說道。
相比而言,硬體升級可能會更加有效地降低風險。比如三星S8智慧手機就使用了更大的指紋掃描感測器,從而讓指紋錄入變得更加清晰,也更難被模仿。
McGladrey向第一財經記者介紹道,加入監測額外的生物識別特徵資料如心率、體溫,也可以進一步改良現有的解鎖方式。例如,早在1964年心臟科專家已經發現每個人的心率都是獨一無二的,可以考慮利用PQRST波形心電圖特徵解鎖裝置。“但是目前,這還需要使用者佩戴額外的穿戴裝置才得以實現。”McGladrey表示。
隨著生物識別技術在各種場景下的應用越來越廣泛,犯罪分子也在開發新的假冒身份的技術。資訊保安專家談劍峰對第一財經記者表示:“儘管生物特徵是每個人特有的,具有唯一性,但是任何技術只要大規模使用,尤其是非現場使用,一定會透過資訊網路,只要透過資訊網路,任何技術都要轉化成計算機能夠識別的0-1二進位制程式碼,這就不具備唯一性了。”
McGladrey對第一財經記者解釋道:“針對人臉識別的攻擊大多是透過高解析度的影像或影片來騙過攝像頭感應器,甚至利用Facebook上的照片、影片多種角度合成某人的影片,區別於2D面部識別。”
他還提到最近的WindowsHello技術透過增加紅外人臉掃描功能強化安全效能。“這個功能會給使用者建立一個3D影像,而3D紅外影像目前還很難被仿製。”McGladrey說道,“但是與指紋解鎖相似,使用者還是可能會被迫進行人臉識別解鎖裝置。因此,開發生物識別技術的公司還需要考慮加入遠端清除遺失或者被盜裝置資料的功能。”