您正在使用IE低版瀏覽器,為了您的雷鋒網賬號安全和更好的產品體驗,強烈建議使用更快更安全的瀏覽器
此為臨時鏈接,僅用于文章預覽,將在時失效
網絡安全 正文
發私信給劉琳
發送

0

就問你怕不怕!新研究發現假指紋解鎖手機通過率高達80%

本文作者:劉琳 2020-04-09 18:27
導語:任何技術都沒有絕對的安全。

“繞過 Touch ID 完全沒有挑戰 ”2013 年黑客在 iPhone5S 技術推出后不到 48 小時內就以假指紋擊敗了 Touch ID 時這樣說道。

雖然隨著技術的迭代升級,指紋解鎖的門檻也越來越高了,但指紋識別依舊沒那么安全。

事情還要從Talos Security Group 的一項研究成果說起。

假指紋通過率高達 80%

近日,據外媒報道,Talos Security Group 做了一個研究,他們花了 2000$ 在幾個月內測試了蘋果、微軟、三星、華為和三家鎖制造商提供的指紋認證。 結果顯示:假指紋能夠以 80% 的成功率騙過你的手機,成功解鎖。

而這一比例是基于研究人員創造出的假指紋的設備所做的 20 次嘗試得出的結果。

“這一成功率意味著,在任何被測試的設備重新進入 PIN 解鎖系統之前,我們都有很高的解鎖概率?!毖芯咳藛T說。

此外,研究還指出,最容易受到假指紋影響的設備是 AICase 掛鎖,華為的 Honor 7x  和三星的Note 9 Android手機,成功率幾乎是100 %;其次是 iPhone 8、MacBookPro 2018 和三星 S10 的指紋認證,成功率超過 90% 。

就問你怕不怕!新研究發現假指紋解鎖手機通過率高達80%

需要注意的是,Windows 10 設備和 USB 驅動器的成功率幾乎為零,而 Windows 10 獲得更好結果的原因在于,所有這些機器的比較算法都駐留在操作系統中,因此結果在所有平臺之間都是共享的。不過,這并不意味著其完全安全,只是相對而言。

那么,他們是如何得出這個結論的?

假指紋是如何逃過指紋認證”法眼“的?

要成功騙過手機指紋認證,首先要知道指紋認證的原理。

 Touch ID 首次應用是在 2013 年發布的 iPhone 5s 上,其中有一塊名為 Secure Enclave 的區域用以專門保護密碼和指紋數據。Touch ID 采用了“硬件鎖定”技術,每個 Touch ID 組件只與一個處理器匹配,保障了安全性。

但一直以來,指紋解鎖的一個核心邏輯是:有依據的猜你錄入的指紋。

解鎖的邏輯是:傳感器先記錄指紋繪點,然后解鎖的時候根據你觸碰的一小塊面積核實繪點從而猜測整個指紋 ,因此你錄入指紋要前后左右錄得整整齊齊,解鎖時只要輕輕一靠就行。

所以蘋果以前用 Touch ID 時,傳感部分越做越大的同時,也就變得越安全越高效。

解鎖過程一般是這樣的:要么繪點全部對上給通過,要么錯了一個繪點直接否定 —— 全票通過和一票否決。

但現實中為了解鎖速度和效率,需要有些容錯,萬一手有些汗水,塵土,只能對 80% 的繪點咋辦?

所以這個時候,指紋解鎖就需要有一定容錯。

此外,在傳感器的選擇上,一般有三個,即電容傳感器、光學傳感器和超聲波傳感器。其中,電容式、光學式指紋識別技術發展歷史較早,在手機廠商中最為常用,商用化程度最高。超聲波指紋識別技術發展歷程最短,技術迭代從 2015 年的第一代,2017 年的第二代,到 2019 年的第三代才實現了大規模的商用。而人的指紋就像山脈,有凸起的脊,也有凹下的谷,脊和谷之間的聲波壓力讀數不同,所以,返回到傳感器的讀數可以展現細節豐富的指紋 3D 圖像。

基于此,研究人員設計了三種收集目標指紋的技術。 

第一種是直接收集,它涉及到一個目標按一個手指在一個品牌的粘土被稱為 Plastiline.。 這樣,攻擊者就得到了指紋的底片。

第二種技術是讓目標在指紋識別器上按下手指,例如在機場、銀行和邊境口岸使用的指紋閱讀器,然后, 讀取器將捕獲打印的位圖圖像。 

第三種是在玻璃杯或其他透明表面上捕捉指紋,并對其拍照。

使用打印閱讀器或照片方法收集打印后,通常需要進行某些優化。 例如,對于指紋閱讀器上記錄的指紋,必須將多個圖像合并在一起,以創建一個足夠大的圖像,以傳遞真實的指紋。 

以聯邦調查局從禁酒令時代的歹徒 Al Capone 那里獲得的指紋為例。

就問你怕不怕!新研究發現假指紋解鎖手機通過率高達80%

首先,研究人員將在玻璃上捕捉到的、然后拍攝下來的指紋用濾光片進行潤色,以增加對比度。然后,研究人員使用了數字雕刻工具,如 ZBrush,創建了一個基于二維圖片的三維模型,最后,研究人員將指紋復制到模具上,模具由織物膠水或硅制成。(在對抗電容式傳感器時,材料還必須包括石墨和鋁粉,以提高電導率。)

就問你怕不怕!新研究發現假指紋解鎖手機通過率高達80%

而要想成功地成為真正的手指,模具必須是精確的尺寸,如果變化僅為 1% ,過大或過小都會導致攻擊失敗。所以,模具必須經過固化才能產生硬度和清除毒素,然后用 25 微米或 50 微米分辨率的 3D 打印機完成,假指紋的模具就完成了。研究人員將模具按在傳感器上,看看它是否把假指紋當作真正的指紋來解鎖手機、筆記本電腦或鎖。

結果表明,直接收集的效果最好。但直接收集的成功率更高并不一定意味著它是在現實世界攻擊中最有效的收集方法,因為它需要欺騙或強迫目標用手指按在一塊粗糙的粘土上。相比之下,從打印閱讀器或玻璃上污跡的照片中獲取指紋可能會更好。

當然,這個研究并不是要告訴你如何仿制假指紋的,只是想告訴你,任何技術都沒辦法做到真正的安全。 而技術的迭代就意味著并沒有 100%的絕對安全,但安全問題歷來都是攻防對抗不斷升級的,所以安全系統的設計也從來不是單點依賴,更為重要的問題是我們如何防范。

對制造商來說,最好的緩解辦法是限制嘗試的次數。例如,蘋果限制用戶在詢問設備上的 PIN 之前嘗試五次。

雷鋒網(公眾號:雷鋒網)雷鋒網雷鋒網

參考來源:

[1]https://arstechnica.com/information-technology/2020/04/attackers-can-bypass-fingerprint-authentication-with-an-80-success-rate/

[2]https://it.slashdot.org/story/20/04/08/2020202/attackers-can-bypass-fingerprint-authentication-with-an-80-percent-success-rate

[3]https://blog.talosintelligence.com/2020/04/fingerprint-research.html

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。

分享:
相關文章

文章點評:

表情
最新文章
請填寫申請人資料
姓名
電話
郵箱
微信號
作品鏈接
個人簡介
為了您的賬戶安全,請驗證郵箱
您的郵箱還未驗證,完成可獲20積分喲!
請驗證您的郵箱
立即驗證
完善賬號信息
您的賬號已經綁定,現在您可以設置密碼以方便用郵箱登錄
立即設置 以后再說
彩票平台刷流水骗局