面部识别被今年央视“3·15”晚会狠狠地打脸,这一技术并没有成熟到能令人们放心使用的地步,但已经被普遍采用到各种智能终端上,智能手机便是其中之一。
最新型的智能手机都在吹嘘生物识别的安全性能,无论是语音识别、指纹扫描还是面部识别,这些技术都承诺让用户的安全得到保障。但事实上,指纹、面部和语音从来就没有安全过。
无论是手机中的照片、电子邮件、短信、Facebook、WhatsApp,以及更重要的控制用户财务状况的各个银行应用,所有的一切都受到生物识别技术的保护。
但事实上,生物识别技术不仅无法令用户更加安全,而且使用这些技术要比用户使用老式密码更容易受到攻击。
在日前巴塞罗那举行的移动世界大会中,老牌代码安全审计机构NCC Group就向外界展示了它如何轻易破解最新款Android手机的这些安全功能。
通过手指、面部或语音
从2013年苹果在iPhone 5S中推出Touch ID开始,指纹成为生物识别安全系统的头号形式。苹果营销副总裁菲尔·席勒(Phil Schiller)当时曾表示,“我们在这些设备上投入如此多的个人时间……无论身处何方,它们都陪伴着我们,我们必须保护它们。”
可悲的是指纹扫描仪很容易上当。NCC Group研究总监马特·刘易斯在展示中先扫描了笔者的指纹,然后把它印在聚乙烯醇环保胶当中。使用这个模具,就能够骗过所有的指纹扫描仪。
目前,绝大多数的智能手机只要输入用户的指纹,都能进入所有的应用和数据。如果犯罪分子得到手机用户的指纹,会出现什么样的情况?
破碎的安全
颇具讽刺意味的是,犯罪分子获得用户指纹的最佳方式就是给智能手机的玻璃主屏拍一张照片,因为用户每天都会在屏幕上留下数十个清晰可见的指纹。
安全研究人员还从人手的高清晰图片中提取到了指纹,其中就包括德国国防部长的指纹。
刘易斯还展示了通过原始图片3D打印某人的脸部面具,同样也能欺骗面部识别系统。“我们用的只是一个相对简单的技术。首先从Facebook个人主页上截取一张2D照片,把它发送给一家3D打印面具公司,花费200美元把它制作出来。”他说。
语音识别是生物识别按群系统中最不安全的方式,通过录制人们的声音并轻易地拼凑在一起,然后反复播放用户在智能手机上设置的“通行短语”即可。刘易斯的展示显示,即便是在喧嚣的世界移动大会活动中,录制的他的声音也能够骗过一款最新的Android智能手机。
当然,刘易斯的展示没有一次完美地获得成功,都需要尝试多次。但是无论是语音识别、指纹扫描和面部识别,最终都被他破解,让智能手机能够对所有人开放。
生物识别安全性能还存在巨大风险,即便是我们越来越依赖它,实际上它却变得越来越不安全。
生物识别的威胁
目前Facebook用户每60秒向Facebook上传超过20万张照片,以及数百万小时的视频。
正因为如此,数以百万计的用户的指纹、面部和语音文档可能已被泄露,以至于它们能够被轻易找到和复制。对于明星和政客而言,这种问题更为糟糕,因为媒体从来就没有放过他们。
把这些生物识别数据放在社交媒体和媒体中对我们意味着什么?“在生物识别变得越来越普遍的世界里,你肯定让自己处于危险之中。”刘易斯说。
对于绝大多数普通人而言,他们并不是攻击目标,但是对于政客、商界领袖和明星来说,情况会有所不同。这也是为什么NCC Group推荐自己的客户避免完全使用生物识别技术“进行保护”。
相反,专家建议尽可能把多种生物识别技术和一个强密码配合起来使用。
“很遗憾的是,虽然这种技术会让攻击者难以维持生计,但目前大多数智能手机并不提供这种技术。”刘易斯说。目前远没有实现苹果高管席勒所承诺的智能手机安全,而且生物识别技术并不是实现真正意义的数字安全的答案。