研究稱(chēng)指紋識別安全性堪憂(yōu) 人造指紋解鎖成功率達50%

　　據外媒報道，美國紐約大學(xué)和密歇根州立大學(xué)研究人員周一發(fā)布的一項研究成果顯示，利用人類(lèi)指紋某些共同點(diǎn)制作的虛假指紋可以很容易地騙過(guò)智能手機的指紋傳感器。

　　指紋傳感器給當代智能手機帶來(lái)了巨大的便利。用戶(hù)只需進(jìn)行指紋識別即可解鎖手機，而無(wú)需輸入密碼。此外，Apple Pay和Android Pay等支付服務(wù)也支持指紋支付。在手機銀行應用中，指紋識別可以幫助用戶(hù)支付賬單或轉賬。

　　然而，指紋識別也帶來(lái)了巨大的安全漏洞。通過(guò)計算機模擬，紐約大學(xué)和密歇根大學(xué)的研究人員設計了一系列人造的“主指紋”，與指紋傳感器中的真實(shí)指紋匹配率高達65%。

　　研究人員并未在真實(shí)手機中測試這種攻擊方式。另一些信息安全專(zhuān)家表示，在實(shí)際情況下，匹配率可能會(huì )大幅降低。不過(guò)，這項研究結果仍給智能手機指紋識別的可靠性提出了疑問(wèn)。

　　加拿大卡爾頓大學(xué)系統和計算機工程教授安迪·阿德勒(Andy Adler)表示：“情況并非如此令人擔憂(yōu)，但確實(shí)很不妙。如果我想做的是拿你的手機，使用你的Apple Pay去買(mǎi)東西，如果我能破解1/10的手機，那么情況就很?chē)乐亍?rdquo;

　　完整的人類(lèi)指紋很難偽造，但手機上的指紋傳感器尺寸很小，只會(huì )掃描指紋的一部分。如果用戶(hù)在iPhone或Android手機上啟用指紋識別，那么手機通常會(huì )獲取8到10幅指紋圖像，從而更方便地進(jìn)行匹配。此外，許多用戶(hù)還會(huì )記錄不止一個(gè)指紋。

　　研究的作者之一、紐約大學(xué)計算機科學(xué)和工程教授納斯爾·梅蒙(Nasir Memon)表示：“這就像是你使用30個(gè)密碼，而攻擊者只需匹配其中一個(gè)即可。”相關(guān)論文已發(fā)表在《IEEE信息鑒定和安全期刊》上。

　　梅蒙表示，這項研究表明，如果可以利用“主指紋”制造“魔術(shù)手套”，那么只需5次嘗試就可以解鎖40%至50%的iPhone，而iPhone此時(shí)仍不會(huì )要求用戶(hù)輸入密碼。

　　蘋(píng)果回應稱(chēng)，不正確指紋與iPhone指紋系統的匹配成功率只有1/50000。蘋(píng)果發(fā)言人瑞安·詹姆斯(Ryan James)表示，在開(kāi)發(fā)Touch ID指紋技術(shù)時(shí)，蘋(píng)果曾測試過(guò)多種不同的攻擊方式。此外，蘋(píng)果還引入了其他的安全功能，避免不正確指紋成功匹配。谷歌(微博)則拒絕對此置評。

　　實(shí)際風(fēng)險很難量化。對于指紋識別技術(shù)的許多細節，蘋(píng)果和谷歌嚴格保密。此外，許多Android手機廠(chǎng)商在適配谷歌的標準設計時(shí)常常會(huì )降低安全性級別。

　　不過(guò)手機廠(chǎng)商指出，由于指紋識別的易用性，許多用戶(hù)愿意開(kāi)啟這項安全功能，而非長(cháng)時(shí)間將手機置于非鎖屏狀態(tài)。在智能手機的發(fā)展早期，許多用戶(hù)都有不鎖屏的習慣。

　　研究的另一名作者、密歇根州立大學(xué)計算機科學(xué)和工程教授阿倫·羅斯(Arun Ross)也承認，這項研究存在局限。“大部分智能手機廠(chǎng)商都沒(méi)有向我們提供指紋圖像。”

　　不過(guò)，美國聯(lián)邦政府Odin項目經(jīng)理克里斯·波赫寧(Chris Boehnen)認為，該團隊的發(fā)現非常有意義。該項目的研究主要集中于如何應對針對生物識別技術(shù)的攻擊。他表示：“令人不安的是，對于隨機找到的一部手機，展開(kāi)攻擊的門(mén)檻非常低。”