研究稱指紋識別安全性堪憂 人造指紋解鎖成功率達(dá)50%
據(jù)外媒報(bào)道,美國紐約大學(xué)和密歇根州立大學(xué)研究人員周一發(fā)布的一項(xiàng)研究成果顯示,利用人類指紋某些共同點(diǎn)制作的虛假指紋可以很容易地騙過智能手機(jī)的指紋傳感器。
本文引用地址:http://www.ex-cimer.com/article/201704/346554.htm指紋傳感器給當(dāng)代智能手機(jī)帶來了巨大的便利。用戶只需進(jìn)行指紋識別即可解鎖手機(jī),而無需輸入密碼。此外,Apple Pay和Android Pay等支付服務(wù)也支持指紋支付。在手機(jī)銀行應(yīng)用中,指紋識別可以幫助用戶支付賬單或轉(zhuǎn)賬。
然而,指紋識別也帶來了巨大的安全漏洞。通過計(jì)算機(jī)模擬,紐約大學(xué)和密歇根大學(xué)的研究人員設(shè)計(jì)了一系列人造的“主指紋”,與指紋傳感器中的真實(shí)指紋匹配率高達(dá)65%。
研究人員并未在真實(shí)手機(jī)中測試這種攻擊方式。另一些信息安全專家表示,在實(shí)際情況下,匹配率可能會大幅降低。不過,這項(xiàng)研究結(jié)果仍給智能手機(jī)指紋識別的可靠性提出了疑問。
加拿大卡爾頓大學(xué)系統(tǒng)和計(jì)算機(jī)工程教授安迪·阿德勒(Andy Adler)表示:“情況并非如此令人擔(dān)憂,但確實(shí)很不妙。如果我想做的是拿你的手機(jī),使用你的Apple Pay去買東西,如果我能破解1/10的手機(jī),那么情況就很嚴(yán)重。”
完整的人類指紋很難偽造,但手機(jī)上的指紋傳感器尺寸很小,只會掃描指紋的一部分。如果用戶在iPhone或Android手機(jī)上啟用指紋識別,那么手機(jī)通常會獲取8到10幅指紋圖像,從而更方便地進(jìn)行匹配。此外,許多用戶還會記錄不止一個(gè)指紋。
研究的作者之一、紐約大學(xué)計(jì)算機(jī)科學(xué)和工程教授納斯?fàn)?middot;梅蒙(Nasir Memon)表示:“這就像是你使用30個(gè)密碼,而攻擊者只需匹配其中一個(gè)即可。”相關(guān)論文已發(fā)表在《IEEE信息鑒定和安全期刊》上。
梅蒙表示,這項(xiàng)研究表明,如果可以利用“主指紋”制造“魔術(shù)手套”,那么只需5次嘗試就可以解鎖40%至50%的iPhone,而iPhone此時(shí)仍不會要求用戶輸入密碼。
蘋果回應(yīng)稱,不正確指紋與iPhone指紋系統(tǒng)的匹配成功率只有1/50000。蘋果發(fā)言人瑞安·詹姆斯(Ryan James)表示,在開發(fā)Touch ID指紋技術(shù)時(shí),蘋果曾測試過多種不同的攻擊方式。此外,蘋果還引入了其他的安全功能,避免不正確指紋成功匹配。谷歌(微博)則拒絕對此置評。
實(shí)際風(fēng)險(xiǎn)很難量化。對于指紋識別技術(shù)的許多細(xì)節(jié),蘋果和谷歌嚴(yán)格保密。此外,許多Android手機(jī)廠商在適配谷歌的標(biāo)準(zhǔn)設(shè)計(jì)時(shí)常常會降低安全性級別。
不過手機(jī)廠商指出,由于指紋識別的易用性,許多用戶愿意開啟這項(xiàng)安全功能,而非長時(shí)間將手機(jī)置于非鎖屏狀態(tài)。在智能手機(jī)的發(fā)展早期,許多用戶都有不鎖屏的習(xí)慣。
研究的另一名作者、密歇根州立大學(xué)計(jì)算機(jī)科學(xué)和工程教授阿倫·羅斯(Arun Ross)也承認(rèn),這項(xiàng)研究存在局限。“大部分智能手機(jī)廠商都沒有向我們提供指紋圖像。”
不過,美國聯(lián)邦政府Odin項(xiàng)目經(jīng)理克里斯·波赫寧(Chris Boehnen)認(rèn)為,該團(tuán)隊(duì)的發(fā)現(xiàn)非常有意義。該項(xiàng)目的研究主要集中于如何應(yīng)對針對生物識別技術(shù)的攻擊。他表示:“令人不安的是,對于隨機(jī)找到的一部手機(jī),展開攻擊的門檻非常低。”
評論