據外媒報道,美國紐約大學和密歇根州立大學研究人員周一發布的一項研究成果顯示,利用人類指紋某些共同點制作的虛假指紋可以很容易地騙過智能手機的指紋傳感器。
指紋傳感器給當代智能手機帶來了巨大的便利。用戶只需進行指紋識別即可解鎖手機,而無需輸入密碼。此外,Apple Pay和Android Pay等支付服務也支持指紋支付。在手機銀行應用中,指紋識別可以幫助用戶支付賬單或轉賬。
然而,指紋識別也帶來了巨大的安全漏洞。通過計算機模擬,紐約大學和密歇根大學的研究人員設計了一系列人造的“主指紋”,與指紋傳感器中的真實指紋匹配率高達65%。
研究人員并未在真實手機中測試這種攻擊方式。另一些信息安全專家表示,在實際情況下,匹配率可能會大幅降低。不過,這項研究結果仍給智能手機指紋識別的可靠性提出了疑問。
加拿大卡爾頓大學系統和計算機工程教授安迪·阿德勒(Andy Adler)表示:“情況并非如此令人擔憂,但確實很不妙。如果我想做的是拿你的手機,使用你的Apple Pay去買東西,如果我能破解1/10的手機,那么情況就很嚴重。”
完整的人類指紋很難偽造,但手機上的指紋傳感器尺寸很小,只會掃描指紋的一部分。如果用戶在iPhone或Android手機上啟用指紋識別,那么手機通常會獲取8到10幅指紋圖像,從而更方便地進行匹配。此外,許多用戶還會記錄不止一個指紋。
研究的作者之一、紐約大學計算機科學和工程教授納斯爾·梅蒙(Nasir Memon)表示:“這就像是你使用30個密碼,而攻擊者只需匹配其中一個即可。”相關論文已發表在《IEEE信息鑒定和安全期刊》上。
梅蒙表示,這項研究表明,如果可以利用“主指紋”制造“魔術手套”,那么只需5次嘗試就可以解鎖40%至50%的iPhone,而iPhone此時仍不會要求用戶輸入密碼。
蘋果回應稱,不正確指紋與iPhone指紋系統的匹配成功率只有1/50000。蘋果發言人瑞安·詹姆斯(Ryan James)表示,在開發Touch ID指紋技術時,蘋果曾測試過多種不同的攻擊方式。此外,蘋果還引入了其他的安全功能,避免不正確指紋成功匹配。谷歌(微博)則拒絕對此置評。
實際風險很難量化。對于指紋識別技術的許多細節,蘋果和谷歌嚴格保密。此外,許多Android手機廠商在適配谷歌的標準設計時常常會降低安全性級別。
不過手機廠商指出,由于指紋識別的易用性,許多用戶愿意開啟這項安全功能,而非長時間將手機置于非鎖屏狀態。在智能手機的發展早期,許多用戶都有不鎖屏的習慣。
研究的另一名作者、密歇根州立大學計算機科學和工程教授阿倫·羅斯(Arun Ross)也承認,這項研究存在局限。“大部分智能手機廠商都沒有向我們提供指紋圖像。”
不過,美國聯邦政府Odin項目經理克里斯·波赫寧(Chris Boehnen)認為,該團隊的發現非常有意義。該項目的研究主要集中于如何應對針對生物識別技術的攻擊。他表示:“令人不安的是,對于隨機找到的一部手機,展開攻擊的門檻非常低。”
京公網安備 11010502049343號