3.15沒(méi)說(shuō)謊 指紋、面部、語(yǔ)音識(shí)別技術(shù)，破解真的很簡(jiǎn)單！

　　面部識(shí)別被今年央視315晚會(huì)狠狠地打臉，這一技術(shù)并沒(méi)有成熟到能令人們放心使用的地步，但已經(jīng)被普遍采用到各種智能終端上，智能手機(jī)便是其中之一。

　　無(wú)論是手機(jī)中的照片、電子郵件、短信、Facebook、WhatsApp，以及更重要的控制用戶財(cái)務(wù)狀況的各個(gè)銀行應(yīng)用，所有的一切都受到生物識(shí)別技術(shù)的保護(hù)。

　　但事實(shí)上，生物識(shí)別技術(shù)不僅無(wú)法令用戶更加安全，而且使用這些技術(shù)要比用戶使用老式密碼更容易受到攻擊。

　　在日前巴塞羅那舉行的世界通訊大會(huì)中，老牌代碼安全審計(jì)機(jī)構(gòu)NCC Group就向外界展示了它如何輕易破解最新款A(yù)ndroid手機(jī)的這些安全功能。

　　通過(guò)手指、面部或語(yǔ)音

　　從2013年蘋果在iPhone 5S中推出Touch ID開(kāi)始，指紋成為了生物識(shí)別安全系統(tǒng)的頭號(hào)形式。蘋果營(yíng)銷副總裁菲爾·席勒(Phil Schiller)當(dāng)時(shí)曾表示，“我們?cè)谶@些設(shè)備上投入如此多的個(gè)人時(shí)間……無(wú)論身處何方，它們都陪伴著我們，我們必須保護(hù)它們。”

　　可悲的是指紋掃描儀很容易上當(dāng)。NCC Group研究總監(jiān)馬特·劉易斯(Matt Lewis)在展示中先掃描了筆者的指紋，然后把它印在聚乙烯醇環(huán)保膠(PVA glue)當(dāng)中。使用這個(gè)模具，就能夠騙過(guò)所有的指紋掃描儀。

　　目前，絕大多數(shù)的智能手機(jī)只要輸入用戶的指紋，都能進(jìn)入所有的應(yīng)用和數(shù)據(jù)。如果犯罪分子得到手機(jī)用戶的指紋，會(huì)出現(xiàn)什么樣的情況?

　　破碎的安全

　　頗具諷刺意味的是，犯罪分子獲得用戶指紋的最佳方式就是給智能手機(jī)的玻璃主屏拍一張照片，因?yàn)橛脩裘刻於紩?huì)在屏幕上留下數(shù)十個(gè)清晰可見(jiàn)的指紋。

　　安全研究人員還從人手的高清晰圖片中提取到了指紋，其中就包括德國(guó)國(guó)防部長(zhǎng)的指紋。

　　劉易斯還展示了通過(guò)原始圖片3D打印某人的臉部面具，同樣也能欺騙面部識(shí)別系統(tǒng)?！拔覀冇玫闹皇且粋€(gè)相對(duì)簡(jiǎn)單的技術(shù)。首先從Facebook個(gè)人主頁(yè)上截取一張2D照片，把它發(fā)送給一家3D打印面具公司，花費(fèi)200美元把它制作出來(lái)，”他說(shuō)。

　　語(yǔ)音識(shí)別是生物識(shí)別按群系統(tǒng)中最不安全的方式，通過(guò)錄制人們的聲音并輕易的拼湊在一起，然后反復(fù)播放用戶在智能手機(jī)上設(shè)置的“通行短語(yǔ)”即可。劉易斯的展示顯示，即便是在喧囂的世界移動(dòng)大會(huì)活動(dòng)中，錄制的他的聲音也能夠騙過(guò)一款最新的Android智能手機(jī)。

　　當(dāng)然，劉易斯的展示沒(méi)有一次完美的獲得成功，都需要嘗試多次。但是無(wú)論是語(yǔ)音識(shí)別、指紋掃描和面部識(shí)別，最終都被他破解，讓智能手機(jī)能夠?qū)λ腥碎_(kāi)放。

　　生物識(shí)別安全性能還有一個(gè)巨大的危險(xiǎn)。即便是我們?cè)絹?lái)越依賴它，實(shí)際上它卻變得越來(lái)越不安全。

　　生物識(shí)別的威脅

　　目前Facebook用戶每60秒向Facebook上傳超過(guò)20萬(wàn)張照片，以及數(shù)百萬(wàn)小時(shí)的視頻。

　　正因?yàn)槿绱耍瑪?shù)以百萬(wàn)計(jì)的用戶的指紋、面部和語(yǔ)音文檔可能已被泄露，以至于它們能夠被輕易的找到和復(fù)制。對(duì)于明星和政客而言，這種問(wèn)題更為糟糕，因?yàn)槊襟w從來(lái)就沒(méi)有放過(guò)他們。

　　把這些生物識(shí)別數(shù)據(jù)放在社交媒體和媒體中對(duì)我們意味著什么?“在生物識(shí)別變得越來(lái)越普遍的世界里，你肯定讓自己處于危險(xiǎn)之中，”劉易斯說(shuō)。

　　對(duì)于絕大多數(shù)普通人而言，他們并不是攻擊目標(biāo)，但是對(duì)于政客、商界領(lǐng)袖和明星來(lái)說(shuō)，情況會(huì)有所不同。這也是為什么NCC Group推薦自己的客戶避免完全使用生物識(shí)別技術(shù)“進(jìn)行保護(hù)”。

　　相反，專家建議盡可能把多種生物識(shí)別技術(shù)和一個(gè)強(qiáng)密碼配合起來(lái)使用。

　　“很遺憾的是，雖然這種技術(shù)會(huì)讓攻擊者難以維持生計(jì)，但目前巨大多數(shù)智能手機(jī)并不提供這種技術(shù)，”劉易斯說(shuō)。目前遠(yuǎn)沒(méi)有實(shí)現(xiàn)蘋果高管席勒所承諾的智能手機(jī)安全，而且生物識(shí)別技術(shù)并不是實(shí)現(xiàn)真正意義的數(shù)字安全的答案。