膠帶、橘子皮就能解鎖,手機指紋密碼這麼不安全?
手機指紋密碼被曝存在重大安全漏洞,網曝膠帶、橘子皮就能解鎖你的手機。到底哪種加密方式能讓你的手機更安全?
文/記者 何從 圖文編輯/陳永傑
新媒體編輯/陳炫之
採訪專家:
侯安山(中國法醫學會科普部主任、公安部刑偵專家)
李揚淵(蘇州邁瑞微電子有限公司董事長、首席技術官)
太長先看版
1. 手機指紋解鎖只需相似在一定百分比以上就能解鎖,並非要與晶元中指紋百分百一樣;
2. 智能手機指紋晶元有學習功能,會識別並存儲機主指紋加上一些錯誤的圖案到晶元中;
3.人的一生中指紋具有穩定不變性,除非是經過特意破壞或者磨損,否則指紋不會發生變化;
4.虹膜具有複雜、防偽性強特點,是安全性較高識別方式之一,但需對準感測器,用戶體驗不好;
科學「答」人隨堂測
人類眼睛虹膜的作用是什麼?
A.調節進入光線
B.接受光學信號
C.折射光鞋
D.防塵
(答案見文末)
手指輕輕一按手機就解鎖,不需要每次都輸入密碼。有了指紋識別功能後,手機用戶再也不會為忘記密碼而擔心了。靠指紋解鎖、支付也早已經成為日常生活中的一部分。
不過近日,一段名為「手機指紋驚天漏洞貼一層膜就能解鎖」的視頻在網路上熱傳。
GIF
▲經過一些操作橘子皮也可以解鎖手機(圖片來源網路)
在視頻中,操作人員先準備一小截透明膠帶,並在膠帶上用導電筆塗上導電塗層,然後把這截膠帶貼在手機指紋解鎖按鍵上,機主先用自己的手指解鎖幾次後,其他任何人的手指,甚至橘子皮都可以解鎖這台手機,甚至用於支付了。
自從蘋果iPhone 5s引入指紋識別後,輕輕一觸,便能解鎖、登錄App、完成支付的指紋識別功能廣受市場歡迎。然而這段視頻展示出來的是,指紋鎖安全如同一層紙,輕輕一捅便破了。
01
晶元把指紋和膠帶圖都存儲
也許就在你不知不覺之中,你的手機里已經潛伏進了這樣一個「間諜」,當你還以為自己的手機因為指紋而固若金湯時,它已經成了一個誰都能開的鎖。用導電筆,事先在指紋貼上畫上幾筆就行,只要貼了這層膜,手機都可以解鎖?這是怎麼回事呢?
披露本次漏洞的蘇州邁瑞微電子有限公司董事長、首席技術官李揚淵告訴北京科技報|科學加客戶端記者:「目前市面上大多數手機使用的都是電容式指紋晶元,使用的是半導體基材,通過一定工藝加工出來晶元,並通過模組製程將晶元包裝成一個指紋模塊,最終安裝固定在手機正面或者背面。」
對於手機指紋解鎖的原理,李揚淵解釋說道:「大家將手機設置成為指紋解鎖的模式,是通過在手機上首次錄入手機指紋時,在手機本地晶元資料庫里保存下一個指紋圖案。大家解鎖手機時按下手指後,就與事先在手機本地資料庫里的圖案進行多次對比,機器確認兩者圖案大致相同後就會成功解鎖。」
▲膠帶上的圖案與部分指紋一起被存儲到手機晶元中(圖片來源網路)
現在大部分智能手機指紋感測器都有自學習功能,把貼了導電圖案的膠帶黏在手機上,這樣在手指解鎖中,感測器識別了小部分機主指紋成功開機。膠帶上的圖案雖不是指紋,但手機同樣會把它輸入資料庫晶元,又形成一個新的圖案加機主指紋的解鎖圖像。當其他人使用時,只要識別到那個有機主指紋部分等圖案就可以解鎖。
究其根本,這個致命問題在於指紋識別只要保證部分紋路正確就開鎖。而至於製造商為什麼要降低手機指紋的識別度,這在李揚淵看來,可能是考慮客戶的舒適度。「識別度低,解起鎖來成功率高,客戶用起來也更方便。而且這個問題不僅僅存在手機領域。在安防上,很多指紋門鎖只要貼上一層膜,同樣可以輕鬆被開啟。」
李揚淵表示,「其實現在的手機指紋解鎖方式,只是一種圖像識別對比的解鎖方式。它所依據是平面圖像比對都存在一個概率問題,並不是百分百對比一致才驗證通過解鎖。因此只要通過一些方式讓手機在識別指紋的同時,記住某些固定圖案,就可以順利通過該圖案解鎖這部手機。」
02
手機指紋系統有自學習功能
據李揚淵介紹,手機行業的指紋晶元普遍應用的是全圖像比對演算法,它的一大特點是擁有自學習功能。由於指紋圖像根據按壓的力度、手指的乾濕度等情況不同會導致按壓時圖像有所差異,所以指紋晶元要不斷學習新的特質、更新圖像以保證識別通過率。
自學習功能的存在,雖然提高了各種情況下指紋通過率,提升用戶體驗,但同時也有巨大隱患。只要識別出圖像一致的部分即可通過,而不會去分辨不一樣部分是否為人為干擾圖像。所以問題就出在機器判斷這一環。
▲手機指紋晶元廠商普遍採用全圖像的指紋演算法(圖片來源網路)
近年來,因為手機要求便攜超薄指紋晶元普遍較小,全圖像識別演算法解鎖速度快、通過率高、用戶體驗好,所以手機指紋晶元廠商普遍採用全圖像演算法。據李揚淵估計,至少上億部手機都受這個「漏洞」影響,這可能是信息安全領域,全球範圍涉及終端數量最大的一次安全事故。且並不是某一家指紋晶元廠商的問題,而是手機指紋晶元的行業性問題。
但同時李揚淵提醒大家不必過度驚慌。「晶元本身設計並不存在漏洞,其功能僅僅是為了採集圖像,存在漏洞的是指紋識別演算法。通過變更演算法是可以去克服這個問題,但是演算法變更是一個浩大的工程,需要一個團隊甚至多個團隊,通過不停的迭代研發才能有一個穩定的演算法。」
轉念想一想,這個「漏洞」看起來嚇人,但要操作起來卻不容易。因為必須事先在你的手機上貼一層膜,你還沒發現的情況下解鎖幾次後,然後再把你的手機拿走,做到這個還是挺難的。
「雖然手機等產品幾乎和用戶寸步不離,被盜動手腳的概率低。但是其他設備,長期處於無人看守狀態。一旦用了不安全的技術,後果還是很嚴重的。比如智能指紋門鎖。所以我們在做產品設計時候,要密切關注其安全性,避免給消費者帶來人身損失。」李揚淵強調說。
03
指紋方式存在在天生缺陷
其實早在1998年,手機廠商西門子就展示了自家的指紋識別手機,識別方式為刮擦式,它可以說是現在背部指紋識別手機的鼻祖,雖然只是一部沒有量產的原型機,但是它向世界證明,手機搭載指紋識別的可能性。緊接著又有很多手機公司在指紋識別上進行研發應用,但是都沒有將其發展壯大。
▲1998年西門子聯合bromba發布的世界首款帶指紋識別的手機(原型機非量產)(圖片來源網路)
直到2013年9月蘋果公司的旗艦機型iPhone 5S問世。這款機型添加了名為Touch ID指紋識別技術,在手機home鍵設置指紋識別感測器,不僅可以解鎖屏幕,還可以在蘋果公司旗下的應用商店進行APP下載和在線支付驗證等等。這一項新奇的技術引起了社會上極大的關注,此後手機廠商們紛紛效仿,越來越多的智能手機添加了指紋識別技術。
▲大部分手機指紋識別採用的圖像對比的方式(圖片來源網路)
在眾多的生物識別方式中,人臉、指紋、虹膜等是手機上已經量產使用的識別方式,技術相對成熟,應用場景也比較豐富。我們每個人的手指肚和掌麵皮膚上,都長著凹凸不平的花紋。粗粗一看,好像各人的指紋長得一樣。
「大家如果仔細觀察一下,就會發現各人的指紋是有區別的,世界上還找不出指紋完全相同的人!指紋識別作為物證之王,本身的安全性非常高,要不然也不能作為公安機關的相關證據使用。」李揚淵說。
人的皮膚一般有表皮、真皮和皮下組織共三部分組成,而常說的指紋就是表皮上凸起的紋路。大致可以分為的紋形、細節點、紋線上汗孔形態疤痕等三級指紋特徵。由於人類基因遺傳特性,所以每個人的指紋完全不相同,即使孿生雙胞胎的外貌再相像,也可以通過驗證指紋來對兩人進行相互區分。人的指紋具有穩定不變性,一個人從出生到死亡,除非是經過特意破壞,否則他的指紋不會發生變化。
指紋識別技術相對成熟。在當前應用也較為廣泛,但中國法醫學會科普部主任、公安部刑偵專家侯安山告訴北京科技報|科學加客戶端記者,儘管指紋作為「密碼」具有諸多優勢,但也存在一些缺陷。「因為指紋是附著在柔軟的且有一定弧度的手指腹上,在指紋採集器上捺按時,指腹變成了一個平面,因按壓的力度或角度不同,指紋圖像均會發生變形。另外,手指皮膚不同的磨損程度、傷痕或者手指泡水後的腫脹或皺縮變形以及有色液體的浸洇等因素,都會影響指紋識別的準確率。」
04
所有識別方式都非絕對安全
在眾多的生物識別方式中,人臉、指紋、虹膜等等是手機上運用較成熟且常用的識別方式,技術相對成熟,應用場景也比較豐富。除此以外,人類身體上的很多生物信息和行為習慣,都可以用來識別,通過技術、感測器等等方法,識別方式可能有成千上萬種。
▲生物識別手段有非常多種類(圖片來源網路)
侯安山表示,「目前已有的個人識別技術中,安全性最高的應該是虹膜識別。由於虹膜在人類胎兒階段發育形成後,在人的整個生命歷程中基本保持不變,所以虹膜識別的準確度高、唯一性強。但虹膜識別要求用戶必須摘除眼鏡,睜大眼睛,近距離對準感測器,會讓人覺得有些麻煩,不夠方便快捷。」
人類眼睛的虹膜屬於眼球中層組織,即我們所稱的黑眼球部分(其真實的顏色為深褐色和藍色的混合色),它位於眼球前段中央,血管膜的最前部,在睫狀體前方,中央的圓形開口為可調節大小的瞳孔,起到調節進入眼內光線多少的作用。虹膜包含了豐富的紋理信息,很多相互交錯的紋線、斑點、細絲、隱窩等細節圖像特徵,這些元素構成了個體生物識別的物質基礎。
▲人類眼睛虹膜的位置示意圖(圖片來源網路)
虹膜複雜的細節特性讓偽造也變得幾乎不太可能,可以說虹膜識別是目前最穩定、最準確、安全係數最高的生物識別技術。近年來虹膜識別在手機等業界領域受到關注。但據了解,當前一些廠商提供的虹膜識別技術,其實是很基礎的圖像識別技術,並沒有專業領域的活體檢測流程,只利用計算機對圖像特徵進行數據處理、分析。這樣就可以使用高清的眼部特寫紅外照片,加上模擬眼球的隱形眼鏡等手段進行破解。
此外蘋果2017年的新旗艦手機iPhone X上採用了名為faceid的人臉識別方式。人臉識別技術指的是通過比較人臉的視覺特徵信息,從而進行身份鑒別的技術。其也是人工智慧領域一項典型的細分技術應用。相比指紋和虹膜識別,人臉識別的優勢在於便捷性比較好,不用被採集對象的配合,可以自主採集,採集場合也比較方面。
「人臉解鎖的主體是人臉,而人臉不如指紋是一層不變的,睫毛、眼鏡、口罩、髮型以及外部光線都容易影響人臉特徵,從而影響人臉的識別體驗。單從體驗來看,指紋解鎖肯定是比人臉解鎖來的方便一些的。」李揚淵說道。
05
生物識別讓人機交互和鏈接
包括指紋解鎖在、人臉解鎖在內的一系列介紹方式都屬於生物特徵識別。生物識別就是通過計算機與光學、聲學、生物感測器等高科技手段密切結合,利用人體固有的生理特性和行為特徵來進行個人身份的鑒定。其有生理特徵和行為特徵兩大類,生理特徵是與生俱來的,比如指紋、虹膜。行為特徵是後天習慣使然,比如寫字簽名的筆跡等等。
目前指紋識別已在智能手機上普及,隨著手機全面屏的興起,及三星、蘋果等廠商的帶動,新的屏內指紋識別、人臉識別、語音識別等技術也將成為智能手機新的生物識別方式。與此同時,生物識別技術也在智能家居、無人超市等新興領域得到了廣泛應用。
▲目前國內廠商已量產帶屏幕下指紋識別技術的手機(圖片來源網路)
比如包括人臉識別、指紋識別、語音識別在內的生物識別技術的成熟,正是推動近年段時間大熱的「無人超市」、無人零售快速爆發的幕後「黑科技」。此外,隨著亞馬遜Echo智能音箱的火爆,今年蘋果、阿里巴巴、小米等眾多廠商也紛紛入局。而智能音箱產業的火爆,同樣也離不開語音識別、聲紋識別等生物識別技術的助力。
研髮指紋晶元多年的李揚淵表示,指紋識別發展這麼多年,前面也未出現類似這樣的安全性事件,這種事件的爆發,只能歸結於部分廠商對指紋識別技術理解不夠到位。「有時為了極端參數,犧牲整體安全性為代價。只有把安全作為第一位同時對效果做極致優化,滿足物聯網的底層安全需求的基礎上,才能為用戶帶來優異的使用體驗。」
回顧人類文明的發展史,科技創新永遠都是人類文明進步的根本動力。人類經歷了農業社會、工業社會後進入信息社會。信息社會進一步發展,必然到智能化社會。生物識別、物聯網、人工智慧將為未來的三大風口,生物識別技術將讓物聯網、人工智慧與人類高效的、安全無縫的連接和交互。
科學「答」人隨堂測
答案:A
解析:人類眼睛的虹膜屬於眼球中層組織,即我們所稱的黑眼球部分。它位於眼球前段中央,血管膜的最前部,在睫狀體前方,中央的圓形開口為可調節大小的瞳孔,起到調節進入眼內光線多少的作用。虹膜包含了豐富的紋理信息,很多相互交錯的紋線、斑點、細絲、隱窩等細節圖像特徵,這些元素構成了個體生物識別的物質基礎。
? 點此做科學「答」人,贏取精品書刊及科技酷品
TAG:科學加 |