如今,手機和人們的關系越來越密切,很多個人信息,銀行賬號,支付應用等都存儲或綁定在自己手機上,因此大傢對於手機安全性也格外看重。而指紋驗證無疑是給我們的個人隱私以及財產安全增加瞭一道防線。因為將機主的指紋信息采集錄入後,每次隻有機主本人將自己的指紋驗證通過後,才能解鎖開機或者進行電子支付。然而這道看似安全的防線真的安全嗎?
近日,網上一篇《一塊橘子皮就能秒開你的手機指紋鎖 還能轉賬付款》的文章及視頻引起瞭廣泛的關註。裡面提到,對於需要指紋驗證的手機,通過使用一些簡單的處理手段,任何人的指紋都可以解鎖,甚至一塊橘子皮都行。
而在前不久,來自安徽的小許,由於手機摔到地上,導致指紋觸摸鍵出現瞭裂紋,令他詫異的是,之後其他人居然都可以用指紋解鎖他的手機。不僅如此,小許手機裡的一些需要指紋識別才能使用的支付應用,陌生的指紋同樣可以通過驗證並使用。
小許在接受采訪時表示,“我手機不小心摔瞭一下,摔地上瞭,我看到那個上面有裂痕。我當時以為這個 ( 指紋功能 ) 可能用不瞭瞭。然後我拿瞭用一下發現還是可以指紋解鎖,還是可以一樣用,支付寶指紋支付都可以。
第二天,我在班上玩手機,同學摸瞭下我手機解鎖瞭,當時我就有點蒙。因為他第一次用我的手機,為什麼他能解鎖,然後後來試瞭一下就發現所有人都能解鎖,發現手機支付什麼都可以瞭”。
隨後,小許立即與手機廠商進行瞭聯系,商傢為小許屏蔽瞭指紋功能。蘇州一傢科技公司的技術人員看到網上視頻,瞭解到此事後,在實驗室模擬出手機指紋觸摸鍵裂紋的圖案,經過多次試驗,他們發現即使手機在沒有任何損壞的情況下,經過一些處理後,仍然可以破解指紋鎖,哪怕是用一塊橘子皮也可以通過驗證。
這種情況是否是因為手機被摔受損,而導致瞭指紋驗證出現瞭誤判?
而用一塊兒橘子皮就能通過指紋驗證解鎖開機,是否能說明指紋驗證系統存在著一定的安全漏洞呢?
橘子皮解鎖手機(戳視頻)
▼▼▼
01
芯片把指紋和膠帶圖都存儲
也許就在你不知不覺之中,你的手機裡已經潛伏進瞭這樣一個“間諜”,當你還以為自己的手機因為指紋而固若金湯時,它已經成瞭一個誰都能開的鎖。用導電筆,事先在指紋貼上畫上幾筆就行,隻要貼瞭這層膜,手機都可以解鎖?這是怎麼回事呢?
披露本次漏洞的蘇州邁瑞微電子有限公司董事長、首席技術官李揚淵告訴記者:“目前市面上大多數手機使用的都是電容式指紋芯片,使用的是半導體基材,通過一定工藝加工出來芯片,並通過模組制程將芯片包裝成一個指紋模塊,最終安裝固定在手機正面或者背面。”
對於手機指紋解鎖的原理,李揚淵解釋說道:“大傢將手機設置成為指紋解鎖的模式,是通過在手機上首次錄入手機指紋時,在手機本地芯片數據庫裡保存下一個指紋圖案。大傢解鎖手機時按下手指後,就與事先在手機本地數據庫裡的圖案進行多次對比,機器確認兩者圖案大致相同後就會成功解鎖。”
▲膠帶上的圖案與部分指紋一起被存儲到手機芯片中(圖片來源網絡)
現在大部分智能手機指紋傳感器都有自學習功能,把貼瞭導電圖案的膠帶黏在手機上,這樣在手指解鎖中,傳感器識別瞭小部分機主指紋成功開機。膠帶上的圖案雖不是指紋,但手機同樣會把它輸入數據庫芯片,又形成一個新的圖案加機主指紋的解鎖圖像。當其他人使用時,隻要識別到那個有機主指紋部分等圖案就可以解鎖。
究其根本,這個致命問題在於指紋識別隻要保證部分紋路正確就開鎖。而至於制造商為什麼要降低手機指紋的識別度,這在李揚淵看來,可能是考慮客戶的舒適度。“識別度低,解起鎖來成功率高,客戶用起來也更方便。而且這個問題不僅僅存在手機領域。在安防上,很多指紋門鎖隻要貼上一層膜,同樣可以輕松被開啟。”
李揚淵表示,“其實現在的手機指紋解鎖方式,隻是一種圖像識別對比的解鎖方式。它所依據是平面圖像比對都存在一個概率問題,並不是百分百對比一致才驗證通過解鎖。因此隻要通過一些方式讓手機在識別指紋的同時,記住某些固定圖案,就可以順利通過該圖案解鎖這部手機。”
02
手機指紋系統有自學習功能
據李揚淵介紹,手機行業的指紋芯片普遍應用的是全圖像比對算法,它的一大特點是擁有自學習功能。由於指紋圖像根據按壓的力度、手指的幹濕度等情況不同會導致按壓時圖像有所差異,所以指紋芯片要不斷學習新的特質、更新圖像以保證識別通過率。
自學習功能的存在,雖然提高瞭各種情況下指紋通過率,提升用戶體驗,但同時也有巨大隱患。隻要識別出圖像一致的部分即可通過,而不會去分辨不一樣部分是否為人為幹擾圖像。所以問題就出在機器判斷這一環。
▲手機指紋芯片廠商普遍采用全圖像的指紋算法(圖片來源網絡)
近年來,因為手機要求便攜超薄指紋芯片普遍較小,全圖像識別算法解鎖速度快、通過率高、用戶體驗好,所以手機指紋芯片廠商普遍采用全圖像算法。據李揚淵估計,至少上億部手機都受這個“漏洞”影響,這可能是信息安全領域,全球范圍涉及終端數量最大的一次安全事故。且並不是某一傢指紋芯片廠商的問題,而是手機指紋芯片的行業性問題。
但同時李揚淵提醒大傢不必過度驚慌。“芯片本身設計並不存在漏洞,其功能僅僅是為瞭采集圖像,存在漏洞的是指紋識別算法。通過變更算法是可以去克服這個問題,但是算法變更是一個浩大的工程,需要一個團隊甚至多個團隊,通過不停的迭代研發才能有一個穩定的算法。”
轉念想一想,這個“漏洞”看起來嚇人,但要操作起來卻不容易。因為必須事先在你的手機上貼一層膜,你還沒發現的情況下解鎖幾次後,然後再把你的手機拿走,做到這個還是挺難的。
“雖然手機等產品幾乎和用戶寸步不離,被盜動手腳的概率低。但是其他設備,長期處於無人看守狀態。一旦用瞭不安全的技術,後果還是很嚴重的。比如智能指紋門鎖。所以我們在做產品設計時候,要密切關註其安全性,避免給消費者帶來人身損失。”李揚淵強調說。
03
指紋方式存在在天生缺陷
其實早在 1998 年,手機廠商西門子就展示瞭自傢的指紋識別手機,識別方式為刮擦式,它可以說是現在背部指紋識別手機的鼻祖,雖然隻是一部沒有量產的原型機,但是它向世界證明,手機搭載指紋識別的可能性。緊接著又有很多手機公司在指紋識別上進行研發應用,但是都沒有將其發展壯大。
▲ 1998 年西門子聯合 bromba 發佈的世界首款帶指紋識別的手機(原型機非量產)(圖片來源網絡)
直到 2013 年 9 月蘋果公司的旗艦機型 iPhone 5S 問世。這款機型添加瞭名為 Touch ID 指紋識別技術,在手機 home 鍵設置指紋識別傳感器,不僅可以解鎖屏幕,還可以在蘋果公司旗下的應用商店進行 APP 下載和在線支付驗證等等。這一項新奇的技術引起瞭社會上極大的關註,此後手機廠商們紛紛效仿,越來越多的智能手機添加瞭指紋識別技術。
▲大部分手機指紋識別采用的圖像對比的方式(圖片來源網絡)
指紋識別技術相對成熟。在當前應用也較為廣泛,但中國法醫學會科普部主任、公安部刑偵專傢侯安山告訴北京科技報|科學加客戶端記者,盡管指紋作為“密碼”具有諸多優勢,但也存在一些缺陷。“因為指紋是附著在柔軟的且有一定弧度的手指腹上,在指紋采集器上捺按時,指腹變成瞭一個平面,因按壓的力度或角度不同,指紋圖像均會發生變形。另外,手指皮膚不同的磨損程度、傷痕或者手指泡水後的腫脹或皺縮變形以及有色液體的浸洇等因素,都會影響指紋識別的準確率。”
04
所有識別方式都非絕對安全
在眾多的生物識別方式中,人臉、指紋、虹膜等等是手機上運用較成熟且常用的識別方式,技術相對成熟,應用場景也比較豐富。除此以外,人類身體上的很多生物信息和行為習慣,都可以用來識別,通過技術、傳感器等等方法,識別方式可能有成千上萬種。
▲生物識別手段有非常多種類(圖片來源網絡)
侯安山表示,“目前已有的個人識別技術中,安全性最高的應該是虹膜識別。由於虹膜在人類胎兒階段發育形成後,在人的整個生命歷程中基本保持不變,所以虹膜識別的準確度高、唯一性強。但虹膜識別要求用戶必須摘除眼鏡,睜大眼睛,近距離對準傳感器,會讓人覺得有些麻煩,不夠方便快捷。”
人類眼睛的虹膜屬於眼球中層組織,即我們所稱的黑眼球部分(其真實的顏色為深褐色和藍色的混合色),它位於眼球前段中央,血管膜的最前部,在睫狀體前方,中央的圓形開口為可調節大小的瞳孔,起到調節進入眼內光線多少的作用。虹膜包含瞭豐富的紋理信息,很多相互交錯的紋線、斑點、細絲、隱窩等細節圖像特征,這些元素構成瞭個體生物識別的物質基礎。
▲人類眼睛虹膜的位置示意圖(圖片來源網絡)
“人臉解鎖的主體是人臉,而人臉不如指紋是一層不變的,睫毛、眼鏡、口罩、發型以及外部光線都容易影響人臉特征,從而影響人臉的識別體驗。單從體驗來看,指紋解鎖肯定是比人臉解鎖來的方便一些的。”李揚淵說道。
05
生物識別讓人機交互和鏈接
包括指紋解鎖在、人臉解鎖在內的一系列介紹方式都屬於生物特征識別。生物識別就是通過計算機與光學、聲學、生物傳感器等高科技手段密切結合,利用人體固有的生理特性和行為特征來進行個人身份的鑒定。其有生理特征和行為特征兩大類,生理特征是與生俱來的,比如指紋、虹膜。行為特征是後天習慣使然,比如寫字簽名的筆跡等等。
目前指紋識別已在智能手機上普及,隨著手機全面屏的興起,及三星、蘋果等廠商的帶動,新的屏內指紋識別、人臉識別、語音識別等技術也將成為智能手機新的生物識別方式。與此同時,生物識別技術也在智能傢居、無人超市等新興領域得到瞭廣泛應用。
▲目前國內廠商已量產帶屏幕下指紋識別技術的手機(圖片來源網絡)
比如包括人臉識別、指紋識別、語音識別在內的生物識別技術的成熟,正是推動近年段時間大熱的“無人超市”、無人零售快速爆發的幕後“黑科技”。此外,隨著亞馬遜 Echo 智能音箱的火爆,今年蘋果、阿裡巴巴、小米等眾多廠商也紛紛入局。而智能音箱產業的火爆,同樣也離不開語音識別、聲紋識別等生物識別技術的助力。
研發指紋芯片多年的李揚淵表示,指紋識別發展這麼多年,前面也未出現類似這樣的安全性事件,這種事件的爆發,隻能歸結於部分廠商對指紋識別技術理解不夠到位。“有時為瞭極端參數,犧牲整體安全性為代價。隻有把安全作為第一位同時對效果做極致優化,滿足物聯網的底層安全需求的基礎上,才能為用戶帶來優異的使用體驗。”
回顧人類文明的發展史,科技創新永遠都是人類文明進步的根本動力。人類經歷瞭農業社會、工業社會後進入信息社會。信息社會進一步發展,必然到智能化社會。生物識別、物聯網、人工智能將為未來的三大風口,生物識別技術將讓物聯網、人工智能與人類高效的、安全無縫的連接和交互。
