你用手機拍下的任何一張照片，都會成為暴露手機型號的呈堂證供！

摘要：像根據子彈軌跡來追蹤槍一樣，照片也可以用來追蹤手機。

就像世界上沒有兩片相同的雪花，你用手機拍攝的每張照片也是獨一無二的。布法羅大學的研究人員掌握了一種方法，可以通過分析照片來追蹤拍攝的手機，這項研究為身份驗證提供了另一種可能性——用手機拍攝的照片來識別身份。

照片噪點也能當手機的「身份證」

由於元件尺寸和襯底材料的不可控，即使是同一型號的相機也會在感測器上有細微的差別。當均勻的光線投射到感測器上時，每個像素輸出的值並不完全相同，這會導致圖像的某些像素或明或暗，產生噪點，這種成像缺陷被稱為 PRNU（光照響應不一致性）。

由於 PRNU 是由感測器本身的物理特性引起的，所以很難完全消除，這種差異用肉眼無法察覺，但可以通過特殊的濾鏡提取，基於這些特徵的不同，每個相機的每張照片都是獨一無二的。

「這就像根據子彈軌跡來追蹤槍，只不過我們是用照片來追蹤手機。」研究人員 Kui Ren 提到。

在數碼相機中，基於 PRNU 來判斷圖像來源的應用很常見，經常用於圖片版權訴訟的取證。但整個過程需要對同一個相機拍攝的 50 張照片進行分析，所以這種驗證方法並沒有用於常見的身份識別。

不過研究人員發現，用 PRNU 驗證身份在智能手機中是可行的。與數碼相機相比，智能手機的圖像感測器要小几十倍，像素的不均勻性更明顯，所以只需要一張照片就可以完成和智能手機的匹配，而且智能手機的普及率和便攜性比數碼相機要高得多。

研究人員表示，這項技術可以成為身份驗證中的一部分，作為密碼、生物識別等驗證方法的補充。Kui Ren 設計了一個新的安全協議，用來檢測和阻止幾種常見的網路攻擊。

驗證過程是這樣的，用戶在註冊一項服務時，先提供一張照片作為「PRNU 指紋」的參考，當發起一筆交易時，服務商會要求用戶拍攝 ATM 機或其他屏幕上的兩個動態二維碼，只有和用戶所留的 PRNU 信息匹配時，交易才會確認。

協議要求二維碼中要包含交易信息，如果服務商接收到的二維碼照片和用戶發起的交易不一致，身份驗證會終止，這可以防止攻擊者攔截信息，然後偽造成服務商發起惡意的交易請求。

二維碼中還包含隨機字元串和時間戳，保證二維碼不會被預測，並且是唯一的。這可以防止攻擊者非法獲取到用戶之前的二維碼照片，並藉此騙過服務商。

準確率 99.5%，比指紋識彆強在哪裡？

隨 iPhone X 興起的人臉識別實際上並不安全，前段時間接連出現雙胞胎、母子甚至是同事破解 Face ID 的例子。相比人臉識別，指紋識別是目前更為成熟的驗證方案，不過仍然存在安全漏洞。

製作假手指來騙過手機的指紋識別並不難，CITER 的研究人員就曾基於一張圖像來製作 3D 列印模具。2014 年，一位黑客用德國國防部長手中的高清照片創建了一個指紋的替代方案。通過橡膠來偽造假手指的方法已經能夠成功解鎖手機。

圖片來源：Pinterest

比起傳統的指紋識別，「PRNU 指紋」最大的優勢就是可以防止偽造。

在個人隱私已經越來越公開化的今天，攻擊者很容易就能從社交平台上獲得用戶的照片，藉此分析出手機的 PRNU 特徵並不難。但布法羅大學的研究人員表示，他們的方案可以及時檢測和識別偽造行為。

攻擊者偽造 PRNU 特徵有兩種方法，第一是直接用其他手機拍攝二維碼，再把用戶手機的 PRNU 特徵添加上去，這樣照片就同時有用戶、攻擊者手機的 PRNU 特徵。

這就是為什麼要求拍攝兩張二維碼照片的原因：當兩張照片上同時疊加了兩種 PRNU 特徵時，它們之間的的噪點相似性要高得多，如果高出正常值，服務商就可以判斷照片為偽造，身份認證就會失敗。

第二種偽造方法是用其他手機拍攝二維碼後，先去除攻擊者手機的 PRNU 特徵，然後再添加用戶手機的 PRNU 特徵。這樣生成的照片包含正確的二維碼，同時也有對應的 PRNU 特徵。

為了檢測出攻擊者去除噪點的行為，二維碼中嵌入了半脆弱探測信號，以此來判斷二維碼照片是否為偽造，這種方法被很多圖片網站用來加強水印的驗證。簡單來說，攻擊者去除噪點的同時也會把探測信號去掉，服務商根據探測信號是否存在，就可以判斷照片上的 PRNU 特徵是否為偽造。

研究人員用 16000 張圖片，對 30 台 iPhone 6s 和 10 台 Galaxy Note 5 進行了測試，身份驗證的準確率達到了 99.5%。Kui Ren 提到，未來他們還會在雙攝手機上做實驗，這會讓身份偽造更困難。

和人臉、指紋、虹膜等生物識別方式相比，用照片來追蹤手機是一個全新的概念。儘管研究人員在安全協議中已經防範了很多被攻擊的可能，但技術的普及還要考慮商業成本和用戶接受度。

拍照驗證的操作倒是符合用戶掃碼、拍攝的習慣，但這種方式就目前來看應用場景還很少。不管是用作 ATM 取錢，還是零售店支付，人臉識別、指紋識別已經足夠便捷。即使這項技術可以實現，也只能作為現有身份驗證的補充。

頭圖來源：視覺中國

編輯：Rubberso

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！