据外媒报道,美国纽约大学和密歇根州立大学研究人员周一发布的一项研究成果显示,利用人类指纹某些共同点制作的虚假指纹可以很容易地骗过智能手机的指纹传感器。
指纹传感器给当代智能手机带来了巨大的便利。用户只需进行指纹识别即可解锁手机,而无需输入密码。此外,Apple Pay和Android Pay等支付服务也支持指纹支付。在手机银行应用中,指纹识别可以帮助用户支付账单或转账。
然而,指纹识别也带来了巨大的安全漏洞。通过计算机模拟,纽约大学和密歇根大学的研究人员设计了一系列人造的“主指纹”,与指纹传感器中的真实指纹匹配率高达65%。
研究人员并未在真实手机中测试这种攻击方式。另一些信息安全专家表示,在实际情况下,匹配率可能会大幅降低。不过,这项研究结果仍给智能手机指纹识别的可靠性提出了疑问。
加拿大卡尔顿大学系统和计算机工程教授安迪·阿德勒(Andy Adler)表示:“情况并非如此令人担忧,但确实很不妙。如果我想做的是拿你的手机,使用你的Apple Pay去买东西,如果我能破解1/10的手机,那么情况就很严重。”
完整的人类指纹很难伪造,但手机上的指纹传感器尺寸很小,只会扫描指纹的一部分。如果用户在iPhone或Android手机上启用指纹识别,那么手机通常会获取8到10幅指纹图像,从而更方便地进行匹配。此外,许多用户还会记录不止一个指纹。
研究的作者之一、纽约大学计算机科学和工程教授纳斯尔·梅蒙(Nasir Memon)表示:“这就像是你使用30个密码,而攻击者只需匹配其中一个即可。”相关论文已发表在《IEEE信息鉴定和安全期刊》上。
梅蒙表示,这项研究表明,如果可以利用“主指纹”制造“魔术手套”,那么只需5次尝试就可以解锁40%至50%的iPhone,而iPhone此时仍不会要求用户输入密码。
苹果回应称,不正确指纹与iPhone指纹系统的匹配成功率只有1/50000。苹果发言人瑞安·詹姆斯(Ryan James)表示,在开发Touch ID指纹技术时,苹果曾测试过多种不同的攻击方式。此外,苹果还引入了其他的安全功能,避免不正确指纹成功匹配。谷歌(微博)则拒绝对此置评。
实际风险很难量化。对于指纹识别技术的许多细节,苹果和谷歌严格保密。此外,许多Android手机厂商在适配谷歌的标准设计时常常会降低安全性级别。
不过手机厂商指出,由于指纹识别的易用性,许多用户愿意开启这项安全功能,而非长时间将手机置于非锁屏状态。在智能手机的发展早期,许多用户都有不锁屏的习惯。
研究的另一名作者、密歇根州立大学计算机科学和工程教授阿伦·罗斯(Arun Ross)也承认,这项研究存在局限。“大部分智能手机厂商都没有向我们提供指纹图像。”
不过,美国联邦政府Odin项目经理克里斯·波赫宁(Chris Boehnen)认为,该团队的发现非常有意义。该项目的研究主要集中于如何应对针对生物识别技术的攻击。他表示:“令人不安的是,对于随机找到的一部手机,展开攻击的门槛非常低。”
本文转自d1net(转载)
相关资源:java指纹识别