腾讯科技讯,据外媒报道,美国纽约大学和密歇根州立大学研究人员周一发布的一项研究成果显示,利用人类指纹某些共同点制作的虚假指纹可以很容易地骗过智能手机的指纹传感器。
指纹传感器给当代智能手机带来了巨大的便利。用户只需进行指纹识别即可解锁手机,而无需输入密码。此外,Apple Pay 和 Android Pay 等支付服务也支持指纹支付。在手机银行应用中,指纹识别可以帮助用户支付账单或转账。
然而,指纹识别也带来了巨大的安全漏洞。通过计算机模拟,纽约大学和密歇根大学的研究人员设计了一系列人造的“主指纹”,与指纹传感器中的真实指纹匹配率高达 65%。
研究人员并未在真实手机中测试这种攻击方式。另一些信息安全专家表示,在实际情况下,匹配率可能会大幅降低。不过,这项研究结果仍给智能手机指纹识别的可靠性提出了疑问。
加拿大卡尔顿大学系统和计算机工程教授安迪·阿德勒(Andy Adler)表示:“情况并非如此令人担忧,但确实很不妙。如果我想做的是拿你的手机,使用你的 Apple Pay 去买东西,如果我能破解1/10 的手机,那么情况就很严重。”
完整的人类指纹很难伪造,但手机上的指纹传感器尺寸很小,只会扫描指纹的一部分。如果用户在 iPhone 或 Android 手机上启用指纹识别,那么手机通常会获取 8 到 10 幅指纹图像,从而更方便地进行匹配。此外,许多用户还会记录不止一个指纹。
研究的作者之一、纽约大学计算机科学和工程教授纳斯尔·梅蒙(Nasir Memon)表示:“这就像是你使用 30 个密码,而攻击者只需匹配其中一个即可。”相关论文已发表在《IEEE 信息鉴定和安全期刊》上。
梅蒙表示,这项研究表明,如果可以利用“主指纹”制造“魔术手套”,那么只需 5 次尝试就可以解锁 40% 至 50% 的 iPhone,而 iPhone 此时仍不会要求用户输入密码。
苹果回应称,不正确指纹与 iPhone 指纹系统的匹配成功率只有1/50000。苹果发言人瑞安·詹姆斯(Ryan James)表示,在开发 Touch ID 指纹技术时,苹果曾测试过多种不同的攻击方式。此外,苹果还引入了其他的安全功能,避免不正确指纹成功匹配。谷歌则拒绝对此置评。
实际风险很难量化。对于指纹识别技术的许多细节,苹果和谷歌严格保密。此外,许多 Android 手机厂商在适配谷歌的标准设计时常常会降低安全性级别。
不过手机厂商指出,由于指纹识别的易用性,许多用户愿意开启这项安全功能,而非长时间将手机置于非锁屏状态。在智能手机的发展早期,许多用户都有不锁屏的习惯。
研究的另一名作者、密歇根州立大学计算机科学和工程教授阿伦·罗斯(Arun Ross)也承认,这项研究存在局限。“大部分智能手机厂商都没有向我们提供指纹图像。”
不过,美国联邦政府 Odin 项目经理克里斯·波赫宁(Chris Boehnen)认为,该团队的发现非常有意义。该项目的研究主要集中于如何应对针对生物识别技术的攻击。他表示:“令人不安的是,对于随机找到的一部手机,展开攻击的门槛非常低。”