據外媒報導,美國紐約大學和密西根州立大學研究人員週一發佈的一項研究成果顯示,利用人類指紋某些共同點製作的虛假指紋可以很容易地騙過智慧手機的指紋感測器。
指紋感測器給當代智慧手機帶來了巨大的便利。用戶只需進行指紋識別即可解鎖手機,而無需輸入密碼。此外,Apple Pay和Android Pay等支付服務也支援指紋支付。在手機銀行應用中,指紋識別可以幫助用戶支付帳單或轉帳。
然而,指紋識別也帶來了巨大的安全性漏洞。通過電腦類比,紐約大學和密西根大學的研究人員設計了一系列人造的“主指紋”,與指紋感測器中的真實指紋匹配率高達65%。
研究人員並未在真實手機中測試這種攻擊方式。另一些資訊安全專家表示,在實際情況下,匹配率可能會大幅降低。不過,這項研究結果仍給智慧手機指紋識別的可靠性提出了疑問。
加拿大卡爾頓大學系統和電腦工程教授安迪·阿德勒(Andy Adler)表示:“情況並非如此令人擔憂,但確實很不妙。如果我想做的是拿你的手機,使用你的Apple Pay去買東西,如果我能破解1/10的手機,那麼情況就很嚴重。”
完整的人類指紋很難偽造,但手機上的指紋感測器尺寸很小,只會掃描指紋的一部分。如果用戶在iPhone或Android手機上啟用指紋識別,那麼手機通常會獲取8到10幅指紋圖像,從而更方便地進行匹配。此外,許多使用者還會記錄不止一個指紋。
研究的作者之一、紐約大學電腦科學和工程教授納斯爾·梅蒙(Nasir Memon)表示:“這就像是你使用30個密碼,而攻擊者只需匹配其中一個即可。”相關論文已發表在《IEEE資訊鑒定和安全期刊》上。
梅蒙表示,這項研究表明,如果可以利用“主指紋”製造“魔術手套”,那麼只需5次嘗試就可以解鎖40%至50%的iPhone,而iPhone此時仍不會要求使用者輸入密碼。
蘋果回應稱,不正確指紋與iPhone指紋系統的匹配成功率只有1/50000。蘋果發言人里安·詹姆斯(Ryan James)表示,在開發Touch ID指紋技術時,蘋果曾測試過多種不同的攻擊方式。此外,蘋果還引入了其他的安全功能,避免不正確指紋成功匹配。穀歌(微博)則拒絕對此置評。
實際風險很難量化。對於指紋識別技術的許多細節,蘋果和穀歌嚴格保密。此外,許多Android手機廠商在適配穀歌的標準設計時常常會降低安全性級別。
不過手機廠商指出,由於指紋識別的易用性,許多用戶願意開啟這項安全功能,而非長時間將手機置於非鎖屏狀態。在智慧手機的發展早期,許多用戶都有不鎖屏的習慣。
研究的另一名作者、密西根州立大學電腦科學和工程教授阿倫·羅斯(Arun Ross)也承認,這項研究存在局限。“大部分智慧手機廠商都沒有向我們提供指紋圖像。”
不過,美國聯邦政府Odin專案經理克裡斯·波赫寧(Chris Boehnen)認為,該團隊的發現非常有意義。該專案的研究主要集中於如何應對針對生物識別技術的攻擊。他表示:“令人不安的是,對於隨機找到的一部手機,展開攻擊的門檻非常低。”
來源:騰訊科技