研究稱指紋識別安全性堪憂 人造指紋解鎖成功率達(dá)50%

　　據(jù)外媒報道，美國紐約大學(xué)和密歇根州立大學(xué)研究人員周一發(fā)布的一項研究成果顯示，利用人類指紋某些共同點制作的虛假指紋可以很容易地騙過智能手機(jī)的指紋傳感器。

　　指紋傳感器給當(dāng)代智能手機(jī)帶來了巨大的便利。用戶只需進(jìn)行指紋識別即可解鎖手機(jī)，而無需輸入密碼。此外，Apple Pay和Android Pay等支付服務(wù)也支持指紋支付。在手機(jī)銀行應(yīng)用中，指紋識別可以幫助用戶支付賬單或轉(zhuǎn)賬。

　　然而，指紋識別也帶來了巨大的安全漏洞。通過計算機(jī)模擬，紐約大學(xué)和密歇根大學(xué)的研究人員設(shè)計了一系列人造的“主指紋”，與指紋傳感器中的真實指紋匹配率高達(dá)65%。

　　研究人員并未在真實手機(jī)中測試這種攻擊方式。另一些信息安全專家表示，在實際情況下，匹配率可能會大幅降低。不過，這項研究結(jié)果仍給智能手機(jī)指紋識別的可靠性提出了疑問。

　　加拿大卡爾頓大學(xué)系統(tǒng)和計算機(jī)工程教授安迪·阿德勒(Andy Adler)表示：“情況并非如此令人擔(dān)憂，但確實很不妙。如果我想做的是拿你的手機(jī)，使用你的Apple Pay去買東西，如果我能破解1/10的手機(jī)，那么情況就很嚴(yán)重。”

　　完整的人類指紋很難偽造，但手機(jī)上的指紋傳感器尺寸很小，只會掃描指紋的一部分。如果用戶在iPhone或Android手機(jī)上啟用指紋識別，那么手機(jī)通常會獲取8到10幅指紋圖像，從而更方便地進(jìn)行匹配。此外，許多用戶還會記錄不止一個指紋。

　　研究的作者之一、紐約大學(xué)計算機(jī)科學(xué)和工程教授納斯?fàn)?middot;梅蒙(Nasir Memon)表示：“這就像是你使用30個密碼，而攻擊者只需匹配其中一個即可。”相關(guān)論文已發(fā)表在《IEEE信息鑒定和安全期刊》上。

　　梅蒙表示，這項研究表明，如果可以利用“主指紋”制造“魔術(shù)手套”，那么只需5次嘗試就可以解鎖40%至50%的iPhone，而iPhone此時仍不會要求用戶輸入密碼。

　　蘋果回應(yīng)稱，不正確指紋與iPhone指紋系統(tǒng)的匹配成功率只有1/50000。蘋果發(fā)言人瑞安·詹姆斯(Ryan James)表示，在開發(fā)Touch ID指紋技術(shù)時，蘋果曾測試過多種不同的攻擊方式。此外，蘋果還引入了其他的安全功能，避免不正確指紋成功匹配。谷歌(微博)則拒絕對此置評。

　　實際風(fēng)險很難量化。對于指紋識別技術(shù)的許多細(xì)節(jié)，蘋果和谷歌嚴(yán)格保密。此外，許多Android手機(jī)廠商在適配谷歌的標(biāo)準(zhǔn)設(shè)計時常常會降低安全性級別。

　　不過手機(jī)廠商指出，由于指紋識別的易用性，許多用戶愿意開啟這項安全功能，而非長時間將手機(jī)置于非鎖屏狀態(tài)。在智能手機(jī)的發(fā)展早期，許多用戶都有不鎖屏的習(xí)慣。

　　研究的另一名作者、密歇根州立大學(xué)計算機(jī)科學(xué)和工程教授阿倫·羅斯(Arun Ross)也承認(rèn)，這項研究存在局限。“大部分智能手機(jī)廠商都沒有向我們提供指紋圖像。”

　　不過，美國聯(lián)邦政府Odin項目經(jīng)理克里斯·波赫寧(Chris Boehnen)認(rèn)為，該團(tuán)隊的發(fā)現(xiàn)非常有意義。該項目的研究主要集中于如何應(yīng)對針對生物識別技術(shù)的攻擊。他表示：“令人不安的是，對于隨機(jī)找到的一部手機(jī)，展開攻擊的門檻非常低。”