網路安全指紋漏洞

A. 智能手機指紋鎖為什麼不安全

每個人的指紋都是獨一無二的，但紐約大學及密歇根州立大學的研究人員發現，兩枚指紋之間的局部特徵普遍存在相似性，因此手機或其它設備上的那些基於指紋的安全系統，要比想像中的脆弱的多。

系統的漏洞在於，用於身份驗證功能的指紋感測器並不會捕捉用戶指紋的完整圖形，相反，它掃描儲存的只有指紋的部分區域，而且許多手機還允許用戶在系統里錄入多個手指的指紋。只要用戶的指紋與系統里保存的區域指紋相匹配，手機就會解鎖。據研究人員推測，不同人的指紋區域之間可能存在足夠的相似性，足以用來製造出虛假的“超級指紋”，從而騙過手機的指紋感測器。

該研究的合著者，密歇根州立大學計算機科學與工程系教授Arun Ross表示，許多電子設備比如智能手機均開始將指紋感測器用於用戶身份驗證，但手機上的指紋感測器尺寸很小，掃描錄入的只有一部分指紋。為了彌補這個不足，電子設備通常會在注冊過程中，要求用戶錄入單個手指指紋的不同區域點，以確保其中至少有一個會在身份的識別過程中與獲取到的指紋圖像成功匹配。而正是這一點使得情況不妙。

“由於指紋感測器的尺寸變小，提高感測器的解析度就顯得十分必要，這樣才能捕捉到額外的特徵點，”Arun Ross說道，“如果不提高解析度，那麼將不可避免地損害到用戶指紋的獨特性。研究過程中的實證分析也證實了這一點。”

Ross表示，研究團隊目前正致力於如何解決這個突出的漏洞。其中包括需要開發出有效的反電子欺騙技術；在用戶注冊時謹慎挑選指紋的數量和類型；提高小型感測器的解析度以便於提取更多特徵點；提高利用了節點與紋理的識別技術；以及設計更有效的綜合方案，從而將用戶的多個指紋區域結合起來。

紐約大學計算機科學和工程研究組組長Nasir Memon稱，“超級指紋”有點類似於一個黑客，試圖用1234這種通用密碼來破解PIN碼（手機SIM卡的個人識別碼）。

Memon表示：“1234這個密碼大約有40%的幾率是正確的，據我們估計，這個正確率有點高。”

國家科學基金會資助研究人員對8200枚指紋進行分析試驗。通過商業指紋驗證軟體，研究人員每批次抽取800枚指紋，結果顯示平均有92枚具備成為“超級指紋”的潛在可能性。（他們將“超級指紋”設計為在隨機抽取的每個批次中，至少能夠匹配於其中4%的虛假指紋。）

相反地，在800份完整的試驗樣本中，研究人員只發現了一枚完整的可用作“超級指紋”的人造指紋。Memon表示，“這並不奇怪，匹配部分指紋的成功率要比匹配一整枚指紋的高得多，然而大部分設備用來匹配的都是部分指紋。

研究人員對取自真實指紋圖像的“超級指紋”的特徵進行分析，建立了一個演算法用於創建合成“超級指紋”。實驗表明，人造的合成指紋匹配的可能性更高，與某些真實的指紋相比反而更能騙過安全識別系統。而由真實指紋結合製成的“超級指紋”成功匹配了系統中26%-65%的用戶指紋，其成功率取決於用戶儲存了多少指紋圖像，並設定了每次最多嘗試匹配5次的限制。

用戶在手機里錄入的指紋越多，安全系統就越脆弱。

研究人員強調他們的工作是在模擬環境下完成的，但需要注意的是，人造指紋技術的發展以及將電子指紋轉移到實體的技術，可能導致攻擊生物識別設備的可能性提高，這是一個很嚴重的問題。由於“超級指紋”的高匹配度，設計值得信賴的基於指紋識別的身份認證系統正面臨挑戰，亟需加強方案的設計，從而利用多種因素進行身份驗證，以提高系統的安全性。研究人員認為，這項研究將會影響未來安全系統設計的方向。同時，Memon表示，目前使用密碼解鎖手機仍是安全的。

相關論文已發表在《IEEE信息鑒定和安全》期刊上。

蝌蚪五線譜編譯自scienceblog，譯者 狗格格，轉載須授權

凡來源署名為「蝌蚪五線譜」的內容，版權歸蝌蚪五線譜所有，任何媒體、網站或個人未經授權不得轉載，否則追究相應法律責任。申請轉載授權或合作請發送郵件至[email protected]。本網發布的署名文章僅代表作者觀點，與本網站無關。如有侵權，文責自負。

作者：狗格格/編譯