研究称指纹识别安全性堪忧 人造指纹解锁成功率达50%

2017-04-12 10:04:52 933

  据外媒报道,美国纽约大学和密歇根州立大学研究人员周一发布的一项研究成果显示,利用人类指纹某些共同点制作的虚假指纹可以很容易地骗过手机的指纹传感器。
 
  指纹传感器给当代手机带来了较的便利。用户需进行指纹识别即可解锁手机,而无需输入密码。此外,Apple Pay和Android Pay等支付服务也支持指纹支付。在手机银行应用中,指纹识别可以帮助用户支付账单或转账。
 
  然而,指纹识别也带来了较的安全漏洞。通过计算机模拟,纽约大学和密歇根大学的研究人员设计了一系列人造的“主指纹”,与指纹传感器中的真实指纹匹配率65%。
 
  研究人员并未在真实手机中测试这种攻击方式。另一些信息安全表示,在实际情况下,匹配率可能会大幅降低。不过,这项研究结果仍给手机指纹识别的可靠性提出了疑问。
 
  加拿大卡尔顿大学系统和计算机工程教授安迪·阿德勒(Andy Adler)表示:“情况并非如此令人担忧,但确实很不妙。如果我想做的是拿你的手机,使用你的Apple Pay去买东西,如果我能破解1/10的手机,那么情况就很严重。”
 
  完整的人类指纹很难伪造,但手机上的指纹传感器尺寸很小,只会扫描指纹的一部分。如果用户在iPhone或Android手机上启用指纹识别,那么手机通常会获取8到10幅指纹图像,从而更方便地进行匹配。此外,许多用户还会记录不止一个指纹。
 
  研究的作者之一、纽约大学计算机科学和工程教授纳斯尔·梅蒙(Nasir Memon)表示:“这就像是你使用30个密码,而攻击者需匹配其中一个即可。”相关论文已发表在《IEEE信息鉴定和安全期刊》上。
 
  梅蒙表示,这项研究表明,如果可以利用“主指纹”制造“魔术手套”,那么需5次尝试就可以解锁40%至50%的iPhone,而iPhone此时仍不会要求用户输入密码。
 
  苹果回应称,不正确指纹与iPhone指纹系统的匹配成功率只有1/50000。苹果发言人瑞安·詹姆斯(Ryan James)表示,在开发Touch ID指纹技术时,苹果曾测试过多种不同的攻击方式。此外,苹果还引入了其他的安全功能,避免不正确指纹成功匹配。谷歌(微博)则拒此置评。
 
  实际风险很难量化。对于指纹识别技术的许多细节,苹果和谷歌严格保密。此外,许多Android手机厂商在适配谷歌的标准设计时常常会降低安全性级别。
 
  不过手机厂商指出,由于指纹识别的易用性,许多用户愿意开启这项安全功能,而非长时间将手机置于非锁屏状态。在手机的发展早期,许多用户都有不锁屏的习惯。
 
  研究的另一名作者、密歇根州立大学计算机科学和工程教授阿伦·罗斯(Arun Ross)也承认,这项研究存在局限。“大部分手机厂商都没有向我们提供指纹图像。”
 
  不过,美国联邦政府Odin项目经理克里斯·波赫宁(Chris Boehnen)认为,该团队的发现比较有意义。该项目的研究主要集中于如何应对针对生物识别技术的攻击。他表示:“令人不安的是,对于随机找到的一部手机,展开攻击的门槛较低。”
 
  电商行业品牌商之翼,产品链贯穿翼商城、云端saas版云商城云物流收银狗神码收银云ERP云产品库等,打造区域电商生态系统
收银狗
上一篇: 支付宝6大新服务:真的离不开它了
下一篇: 虚拟现实发展远低预期 需熬过“幻觉破灭期”
咨询
客服