15日,2019年國家網絡安全宣傳周上,上海信息安全行業協會副主任張威的一句安全提醒引來軒然大波,“基本上1.5米內拍攝的剪刀手照片就能100%還原出被攝者的指紋,在1.5米-3米的距離內拍攝的照片能還原出50%的指紋,只有超過3米拍攝的照片才難以提取其中的指紋。”
事實真如他所說如此嚴重?黑奇士(id hqssima)對其展開了調查。
2017年12月,某安全實驗室對主流品牌手機所做的安全測試,當時選取的8款手機,都無法承受指紋偽造的“5-5攻擊”(5分鐘內,所耗用成本不超過5毛錢)。但相對而言,國產廠商匯頂科技的指紋識別方案,相對最為成熟,攻擊難度最大。
(百度的測試結果,8款手機全部淪陷)
深扒“剪刀手泄密”根源:手機攝影頭越來越清楚
黑奇士採訪的安全專家介紹說,目前的指紋識別基本原理都類似:都是通過傳感器把生物特徵投影成像為數字信號,指紋也不例外。具體來說分為指紋圖像提取、預處理、特徵提取、比對等步驟。
但指紋識別,不像一般人想象的那樣,把識別的圖像跟已經儲存的圖像做對比。而是提取出一串特徵值,跟數據庫中已有的特徵值做對比。相同率百分之多少以上,就認為是同一個指紋。
這樣,就存在著偽造指紋的攻擊空間,只要獲取到指紋的照片,通過算法增強、AI提取特徵,就可能攻破指紋識別驗證。
而且現在的手機攝影頭分辨率越來越高,像某些品牌的高端手機攝影頭分辨率已經到了4000萬,普通手機攝影頭的分辨率也有1000多萬,如果是圖片原圖的話,分辨率已經足夠清楚(從剪刀手提取指紋特徵)。
這也就是張威主任所說的,“1.5米拍攝,100%還原指紋”所表達的意思。
指紋偽造有前提:美圖美顏有干擾
但是,偽造指紋並不像簡要新聞裡說的那麽容易,比如從各種場景中提取指紋,就是偽造指紋的重要一環。如果這都無法提取,後續的指紋偽造攻擊就無從談起。
所以,有些網友開玩笑的說,“美顏手機是保護隱私的利器,美顏之後別說指紋,連酒窩都沒了”
(美顏之後的黃曉明和網紅阿純)
而且專家提醒說,要想從圖片中提取剪刀手的指紋特徵,最好是分辨率較高的圖片原圖(一張圖片十幾兆那種),從網上隨便找的圖因為可能有美顏、壓縮等操作干擾,從中提取指紋特徵難度較高。
根據百度安全實驗室的測試文章,提取指紋特徵更多的場景,其實是從按指紋的合約中提取,或者從手機殼、玻璃等光滑表面拍攝的汗汙指紋,“剪刀手圖片”僅僅是各種場景中較不常見的一種。
(從上圖的手機殼上翻拍處理過的指紋圖,來自百度安全實驗室)
指紋識別:需要加入生物識別特徵
每次當手機廠商發布有關生物特徵識別的產品時,總會有人有各種擔心,比如iPhone中加入face id,就有人發布破解方案,這些都給普通讀者帶來恐慌。
因為,生物特徵一旦識別無法改變。每個人的指紋都是獨一無二的,相同概率大概只有150億分之一。而指紋識別的成本又相對較低,從而迅速成為手機保證安全的基礎模塊之一。
但是,單一的生物識別必然存在種種問題,比如虹膜和指紋識別,很容易被欺騙或繞過。因此,百度安全實驗室專家在文章中呼籲“指紋方案廠商、手機廠商增強指紋防攻擊方面的能力,讓每一個人可以安全、便捷的使用指紋識別。”
翻譯成普通人能明白的話說,就是:指紋識別廠商,你們所謂的“生物識別技術,別老存在於PR文章中,也需要變成實際產品落地”;
手機廠商,你們要考慮用戶的安全需求,別為了省幾塊錢的成本,就選擇更便宜的指紋識別方案。安全上不出事還好,出事就是大事,讓用戶傾家蕩產的那種;
對於普通用戶,你們別覺得指紋識別很高科技很厲害,要破解他,五毛錢就夠了。如果轉账或其他場景要用,最好別光依賴指紋,還要加上密碼驗證、生物識別和行為風控判斷。
專家建議:普通用戶要學會這三招
安全專家提醒用戶:
1、盡量不要在朋友圈、各種群等公開場合發布自拍照,如果要發,最好要去掉圖片特徵(抹掉GPS坐標、拍照設備型號等等),經過壓縮、美顏等處理後再發。(自拍照可以洩露很多隱私)
2、在使用指紋、虹膜等作為認證的時候,最好疊加其他認證,比如在iPhone账號上,開啟手機账號雙重驗證,大額銀行轉账不要依賴單一認證因素。
3、注意保護自己的生物特徵信息,比如,按指紋的合約文本,在執行完畢之後要收回;手機殼、手機螢幕上的汗汙指紋,要及時清除;從部門離職時,指紋打卡機上的面容識別要清除等等。
(這個合約指紋就很容易被人翻拍,來源:百度安全實驗室)
香港九龍灣馬來街興發大廈15樓D室