智能手機(jī)、智能門(mén)鎖、保險(xiǎn)箱、考勤打卡…人類指紋150億分之一的重復(fù)率,使得指紋解鎖正在大范圍應(yīng)用在各種身份識(shí)別場(chǎng)景,但這就絕對(duì)安全嗎?
在10月24日上海召開(kāi)的GeekPwn 2019國(guó)際安全極客大賽上,騰訊安全玄武實(shí)驗(yàn)室繼“殘跡重用漏洞”后,再次披露了指紋識(shí)別領(lǐng)域的最新研究——自動(dòng)化破解多種類型指紋識(shí)別。該研究通過(guò)提取用戶在日常生活中留存的指紋,自動(dòng)化進(jìn)行克隆復(fù)原,進(jìn)而通過(guò)各種指紋設(shè)備的驗(yàn)證。
為了更好地傳遞指紋設(shè)備的安全研究,騰訊安全玄武實(shí)驗(yàn)室研究員陳昱在GeekPwn 2019現(xiàn)場(chǎng),邀請(qǐng)觀眾共同完成該研究項(xiàng)目展示。在觀眾接觸過(guò)一個(gè)玻璃水杯后,陳昱先是拿出手機(jī)拍攝觀眾留存在水杯上的指紋,隨后在手機(jī)上調(diào)試之后“克隆”了一個(gè)全新的指紋,利用這個(gè)“新指紋”通過(guò)了該觀眾提前錄好指紋的3臺(tái)手機(jī)和2臺(tái)考勤機(jī)的指紋識(shí)別,一共破解了使用電容、光學(xué)和超聲波三種技術(shù)類型的指紋驗(yàn)證設(shè)備。
(騰訊安全玄武實(shí)驗(yàn)室在比賽現(xiàn)場(chǎng)成功完成挑戰(zhàn))
陳昱向大家解釋了演示項(xiàng)目背后的技術(shù)原理,其實(shí)并不是什么魔法,而是采用屏幕圖像采集技術(shù)以及指紋雕刻技術(shù),首先通過(guò)使用特殊拍照方法提取手機(jī)、門(mén)鎖、考勤機(jī)等物品上的指紋,經(jīng)過(guò)指紋破解APP解析形成有效指紋信息,再借助雕刻機(jī)克隆指模,最后便可使用克隆指模通過(guò)各種驗(yàn)證。值得一提的是,這次挑戰(zhàn)也是國(guó)際上第一次成功攻破超聲波屏下指紋識(shí)別技術(shù)。
看上去,演示項(xiàng)目實(shí)現(xiàn)了指紋的“復(fù)制”與“粘貼”,但這背后是玄武實(shí)驗(yàn)室獨(dú)家自研的指紋破解APP及指紋采集框,不僅能夠?qū)崿F(xiàn)在只有極小面積的指紋殘影情況下提取復(fù)刻有效指紋,還是首次將雕刻技術(shù)應(yīng)用在系統(tǒng)破解。
不過(guò),用戶無(wú)需過(guò)分恐慌。雖然該技術(shù)可對(duì)多種類型指紋識(shí)別進(jìn)行自動(dòng)化破解,但用戶只需在日常使用中養(yǎng)成及時(shí)擦去指紋的習(xí)慣,即可大幅提升指紋設(shè)備安全。
但對(duì)于指紋設(shè)備而言,這次研究卻折射出其存在的安全隱患。事實(shí)上,騰訊安全玄武實(shí)驗(yàn)室?guī)?lái)本次自動(dòng)化指紋設(shè)備破解研究之前,就率先多次披露了關(guān)于生物活體檢測(cè)的安全研究。騰訊安全玄武實(shí)驗(yàn)室關(guān)于面部識(shí)別研究的議題入選了在今年世界頂級(jí)黑客Black Hat,在議題中介紹了通過(guò)軟件無(wú)感知的方法注入生物特征從而繞過(guò)基于攻擊介質(zhì)的活體檢測(cè),依托Face ID注視檢測(cè)在特定場(chǎng)景下的設(shè)計(jì)缺陷,可以在用戶閉眼的狀態(tài)下解鎖手機(jī)。
在去年的GeekPwn上,騰訊安全玄武實(shí)驗(yàn)室重磅披露了在安卓手機(jī)中普遍應(yīng)用存在的屏下指紋技術(shù)安全問(wèn)題——“殘跡重用”漏洞,該漏洞會(huì)幾乎無(wú)差別地影響所有使用屏下指紋技術(shù)的設(shè)備。利用該漏洞,攻擊者只需一秒鐘就可解鎖手機(jī)。
毫無(wú)疑問(wèn),指紋解鎖、面部解鎖的安全問(wèn)題不并不是孤例,而是產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代所有上下游產(chǎn)業(yè)鏈都需要共同面對(duì)并攜手解決的安全隱患。騰訊安全玄武實(shí)驗(yàn)室在不斷探索前沿技術(shù)的同時(shí),還致力于打通產(chǎn)業(yè)鏈上下游的聯(lián)動(dòng),建立良好的協(xié)同修復(fù)機(jī)制,幫助廠商及時(shí)修復(fù)安全漏洞,共同推進(jìn)行業(yè)安全問(wèn)題的解決。
騰訊安全玄武實(shí)驗(yàn)室研究員陳昱也在現(xiàn)場(chǎng)重申了騰訊安全對(duì)于安全研究的初衷,未來(lái),騰訊安全還將持續(xù)深耕漏洞研究,輸出自身的安全能力,與第三方廠商共同筑造安全防線,為安全新思維的升級(jí)和新趨勢(shì)的探索貢獻(xiàn)力量。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 為什么年輕人不愛(ài)換手機(jī)了
- 柔宇科技未履行金額近億元被曝已6個(gè)月發(fā)不出工資
- 柔宇科技被曝已6個(gè)月發(fā)不出工資 公司回應(yīng)欠薪有補(bǔ)償方案
- 第六座“綠動(dòng)未來(lái)”環(huán)保公益圖書(shū)館落地貴州山區(qū)小學(xué)
- 窺見(jiàn)“新紀(jì)元”,2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機(jī)打造全新一代屏幕壓感
- 清潔家電新老玩家市場(chǎng)定位清晰,攜手共進(jìn),核心技術(shù)決定未來(lái)
- 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達(dá)成戰(zhàn)略合作伙伴關(guān)系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。