《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > MEMS|傳感技術(shù) > 業(yè)界動(dòng)態(tài) > 指紋識(shí)別再現(xiàn)安全漏洞 手機(jī)指紋加密將受考驗(yàn)

指紋識(shí)別再現(xiàn)安全漏洞 手機(jī)指紋加密將受考驗(yàn)

2015-10-20

  9月24日,美國(guó)政府宣布,黑客竊取了國(guó)防部和其他政府部門員工的安檢數(shù)據(jù),包括大約560萬(wàn)份指紋記錄,較最初報(bào)告的數(shù)量增加450萬(wàn)份。有業(yè)內(nèi)觀點(diǎn)認(rèn)為,美國(guó)信息泄露將會(huì)導(dǎo)致指紋數(shù)據(jù)被大規(guī)模濫用以謀取利益,美國(guó)政府也在隨后組建了安全小組專門應(yīng)對(duì)此次出現(xiàn)的指紋信息泄露危機(jī)。

  眾所周知,當(dāng)今信息化社會(huì),指紋識(shí)別已經(jīng)成為市場(chǎng)最熱的一種生物安全技術(shù),該技術(shù)已經(jīng)滲入到生活當(dāng)中方方面面,例如身份證、手機(jī)、上班打卡、銀行支付等。美國(guó)此次爆發(fā)的指紋泄露危機(jī)也給信息安全敲響了警鐘。

  美國(guó)宣布560萬(wàn)指紋信息泄露

  9月24日上午,美國(guó)政府宣布,黑客竊取了國(guó)防部和其他政府部門員工的安檢數(shù)據(jù),包括大約560萬(wàn)份指紋記錄,較最初報(bào)告的數(shù)量增加450萬(wàn)份。美國(guó)人事管理辦公室(OPM)和美國(guó)國(guó)防部是在對(duì)遭竊數(shù)據(jù)展開持續(xù)分析的過(guò)程中,發(fā)現(xiàn)新增的被盜指紋記錄的。美國(guó)政府今年春天發(fā)現(xiàn)了此次數(shù)據(jù)被盜事件,受此影響的安檢記錄可以追溯到數(shù)年之前。

  這一消息的曝光正值中國(guó)國(guó)家主席習(xí)近平訪美之際。美國(guó)總統(tǒng)奧巴馬曾經(jīng)表示,網(wǎng)絡(luò)安全問(wèn)題將成為他周五在白宮會(huì)見習(xí)近平時(shí)的重要議題。美國(guó)官員表示,目前沒有證據(jù)顯示被盜數(shù)據(jù)遭到濫用,但他們擔(dān)心此事可能產(chǎn)生反間諜問(wèn)題。白宮發(fā)言人約什·厄內(nèi)斯特(JoshEarnest)周三表示,對(duì)數(shù)據(jù)泄密事件的調(diào)查仍在繼續(xù),他并沒有對(duì)幕后主導(dǎo)發(fā)表結(jié)論。受此影響的美國(guó)聯(lián)邦政府雇員約為2150萬(wàn)人。

  他指出,OPM的這份聲明與習(xí)近平訪美沒有關(guān)系,而是因?yàn)镺PM官員會(huì)見了國(guó)會(huì)議員,并向其告知了指紋問(wèn)題,因此需要公開披露此事。OPM在聲明中說(shuō),他們一直在分析被竊數(shù)據(jù),直到最近才發(fā)現(xiàn)有新增的被盜數(shù)據(jù)。正因如此,目前估算的被竊數(shù)據(jù)從最初的110萬(wàn)份增加到560萬(wàn)份。OPM表示,受此影響的人員數(shù)量仍然為2150萬(wàn)人。但OPM不認(rèn)為這些被盜的指紋記錄可能構(gòu)成太大威脅,他表示,這些數(shù)據(jù)目前無(wú)法被大規(guī)模濫用。但他也承認(rèn),隨著技術(shù)的進(jìn)步,威脅可能逐步擴(kuò)大。該機(jī)構(gòu)稱:“我們組建了一個(gè)跨部門工作小組,聘請(qǐng)這一領(lǐng)域的專家來(lái)評(píng)估攻擊者現(xiàn)在和將來(lái)可能采取的濫用方式?!?/p>

  該跨部門小組包括美國(guó)聯(lián)邦調(diào)查局、國(guó)土安全部和五角大樓的工作人員。OPM稱:“如果今后開發(fā)出濫用指紋數(shù)據(jù)的新方法,政府將向受此影響的人提供額外信息?!眱?nèi)布拉斯加共和黨參議員本·薩斯(BenSasse)曾經(jīng)批評(píng)美國(guó)政府未能重視網(wǎng)絡(luò)安全問(wèn)題,他認(rèn)為OPM的聲明進(jìn)一步表明,數(shù)據(jù)被盜事件“是一場(chǎng)公關(guān)危機(jī),而非國(guó)家安全危機(jī)”。受此影響的個(gè)人尚未收到通知。OPM在聲明中表示,他們正在與美國(guó)國(guó)防部合作,向這些人發(fā)出通知。

  不過(guò)與美國(guó)相對(duì)發(fā)達(dá)的安全保障來(lái)說(shuō),我國(guó)似乎對(duì)于指紋等信息的安全并不看重,而與我們生活息息相關(guān)的指紋識(shí)別到底安不安全也成為了社會(huì)關(guān)注和探討的一個(gè)話題。

  在手機(jī)領(lǐng)域指紋泄露影響全部信息

  雖然美國(guó)的指紋危機(jī)并未對(duì)我國(guó)產(chǎn)生什么影響,但是我們也必須時(shí)刻關(guān)注指紋安全。最近,在手機(jī)領(lǐng)域又開始出現(xiàn)了一個(gè)新的賣點(diǎn),就是指紋加密。比如iPhone系列,華為MATE7,魅族MX4PRO等等,無(wú)一不是將指紋加密作為賣點(diǎn)。指紋識(shí)別功能的戰(zhàn)爭(zhēng),已經(jīng)從“要不要放”升級(jí)到了“該放在正面還是反面”了。

  這其中一方面是因?yàn)橛脩舨粷M足于手機(jī)已經(jīng)具備的基本功能,另一方面也因?yàn)橛脩舻陌踩庾R(shí)增強(qiáng),手機(jī)承載了太多敏感信息,必須有一套足夠安全的防護(hù)措施??赡芤?yàn)橹讣y是每個(gè)人獨(dú)一無(wú)二的,因此造成了指紋比密碼更安全的感覺。

  早在iPhone4時(shí)代,還沒有現(xiàn)在的專門指紋識(shí)別系統(tǒng),而蘋果APPStore里就有指紋加密應(yīng)用。只需要把手指貼在屏幕上,就可以進(jìn)行加密、解密等操作,看起來(lái)像是把觸屏變成了指紋傳感器。

  本質(zhì)上,手機(jī)上使用的這種指紋傳感器也是一種電容屏,兩者工作原理幾乎是相同的,只不過(guò)相對(duì)于觸屏而言,指紋傳感器的分辨率高出了幾個(gè)量級(jí),因此能夠識(shí)別出指紋特征。不能否認(rèn),指紋識(shí)別器到手機(jī)系統(tǒng)之間的部分,是相當(dāng)安全的。從硬件到軟件,每一家廠商都在這個(gè)環(huán)節(jié)下足了功夫。有專門負(fù)責(zé)加密的硬件,有專有的傳輸協(xié)議,有防止破解的多重防護(hù),一個(gè)強(qiáng)大加密網(wǎng)絡(luò)把他們緊密聯(lián)系起來(lái),已經(jīng)安全到幾乎無(wú)法破解。如果將指紋系統(tǒng)比作一把鎖,這里就相當(dāng)于鎖芯的部分,而且這個(gè)鎖芯近乎無(wú)敵。

  但是,如果你的鎖鑰匙丟了,被別人撿到,那就等于大門對(duì)外敞開了,你手機(jī)里的任何信息,包括銀行卡,一般手機(jī)都會(huì)綁定銀行卡,身份信息等,問(wèn)題的關(guān)鍵就在這兒。雖然指紋具有唯一性,但指紋在我們的生活環(huán)境中太常見了。不論工作、生活、娛樂(lè),我們?cè)谧鋈魏问虑榈臅r(shí)候都不可能把雙手扔在家里或者藏匿起來(lái)。手會(huì)和各種東西接觸,于是手指皮膚分泌出的化學(xué)物質(zhì),讓我們?cè)诟鞣N各樣的環(huán)境中都留下了指紋。

  深圳揣摩科技有限公司國(guó)際部張澤偉就表示:“試想一下,如果犯罪分子拿到了你的指紋信息打開了你的手機(jī),然后盜走了你的身份信息、銀行卡信息、電話信息等,最后你可能會(huì)丟失存款、信用卡等等。這就是為什么現(xiàn)在微信上好多小游戲都是讓按手指什么的,最后莫名其妙的通過(guò)微信支付轉(zhuǎn)走了大量存款?!?/p>

  “碳粉+膠帶”不能破解指紋加密

  當(dāng)然,拋開一些騙取信息的惡意的軟件等,也有另一種觀點(diǎn)認(rèn)為只需要一點(diǎn)碳粉外加一段透明膠帶,就能輕松地從喝水的杯子上或者任何相對(duì)干凈的平面上獲取一個(gè)人的指紋信息。

  法律上來(lái)說(shuō),用獲得的指紋信息再造出來(lái)的指紋在學(xué)術(shù)上被稱作“假指紋”,一般可被做成指模,用以騙過(guò)各類指紋識(shí)別系統(tǒng)。美國(guó)泄露的指紋信息完全可能被制作成指模等工具。

  據(jù)了解,一般人通過(guò)簡(jiǎn)單的方式是做不出那么好的假指紋的。一些犯罪現(xiàn)場(chǎng)也會(huì)殘留非常多的指紋,然而即使給刑偵學(xué)專家充分的時(shí)間在現(xiàn)場(chǎng)采集、采集后再經(jīng)過(guò)精細(xì)加工,最終獲得的指紋有60%的匹配度就非常不錯(cuò)了。這個(gè)數(shù)字意味著,通過(guò)一般的采集加工手段,從水杯等生活用品上最終獲得的假指紋與真實(shí)指紋的匹配度頂多只有60%相似。

  自動(dòng)指紋識(shí)別系統(tǒng)中都有一個(gè)閾值來(lái)區(qū)分指紋匹配是否成功。比如,正在驗(yàn)證指紋信息與存儲(chǔ)信息比對(duì)匹配超過(guò)90%就算成功。而法醫(yī)學(xué)上的指紋匹配度閾值更低,低于60%。就算擁有刑偵專家水平,通過(guò)日常生活中采集殘留指紋制作假指紋也難以攻破指紋安全系統(tǒng),普通人如此做想要破掉指紋安全系統(tǒng)的難度可想而知了。

  不過(guò)并不否認(rèn),的確有些黑客通過(guò)極端方式可以從人們生活中的殘留痕跡提取到相對(duì)完整的指紋信息,用以攻擊對(duì)應(yīng)的信息安全系統(tǒng),并可能獲得成功。不能說(shuō)完全沒有這方面的威脅,存在非常專業(yè)的人員,但這是非常極端的行為,對(duì)普通人的威脅約等于零。

  德國(guó)吉徠中國(guó)代理商御龍國(guó)際有限公司銷售部孫江波在接受筆者采訪時(shí)表示:“總體來(lái)看指紋是安全的。之前我們?cè)谖覀兊闹讣y門禁系統(tǒng)上做了一個(gè)測(cè)試,就是用‘碳粉+膠帶’獲取了指紋,然后試圖打開門禁,但是最后都失敗了。我不能說(shuō)指紋絕對(duì)的安全,但是一般情況下都是安全的,所以這個(gè)完全不必?fù)?dān)心?!?/p>


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。