原標(biāo)題:三星手機(jī)遭黑客“秒破”騙過S8手機(jī)虹膜識別
英國《衛(wèi)報(bào)》報(bào)道稱,這一手機(jī)在上市不到一個(gè)月時(shí)間內(nèi)被曝出遭德國黑客輕松攻破。歐洲最大的黑客聯(lián)盟“混沌電腦俱樂部”近日發(fā)布視頻稱,三星手機(jī)“虹膜識別”這一安全性能,完全被“仿制的眼睛”給欺騙了,系統(tǒng)誤以為其是來自手機(jī)主人而自動解鎖。
其實(shí),三星Note 7首次搭載了虹膜識別新科技,號稱比指紋還要安全數(shù)倍。不過在經(jīng)歷“爆炸門”事件后,這一新科技完全被“湮沒”。
“秒”被解鎖 照片造出“仿制眼”騙過S8手機(jī)虹膜識別
虹膜是位于眼睛黑色瞳孔和白色鞏膜之間的圓環(huán)狀部分,其包含有很多相互交錯(cuò)的斑點(diǎn)、細(xì)絲、冠狀、條紋、隱窩等細(xì)節(jié)特征。虹膜在胎兒發(fā)育階段形成后,整個(gè)生命歷程中將是保持不變的。這些特征決定了虹膜特征的唯一性,同時(shí)也決定了身份識別的唯一性。因此,可以將眼睛的虹膜特征作為每個(gè)人的身份識別對象。
不過,“混沌電腦俱樂部”卻制造出“仿制眼”,讓看似高端的虹膜解鎖形同虛設(shè)。而且整個(gè)過程只需要一臺具有夜間攝影模式的傻瓜相機(jī)、一臺打印機(jī)以及一片能夠吻合眼睛弧度的隱形眼鏡。
“混沌電腦俱樂部”發(fā)布的視頻中,公布了具體的操作方法。黑客首先使用一部普通的索尼相機(jī),在“夜間模式”下拍得機(jī)主眼睛的紅外照片。隨后將照片進(jìn)行裁剪并打印。隨后,將隱形眼鏡放置在照片中的眼球位置,調(diào)整鏡片到適當(dāng)?shù)幕《群螅罱K成功騙過S8手機(jī)的虹膜識別。
《每日郵報(bào)》報(bào)道稱,整個(gè)破解過程只需要數(shù)分鐘就完成了。“混沌電腦俱樂部”的發(fā)言人德爾克·安格林格稱:“對使用者來說,眼睛暴露在外的幾率要比遺留指紋還高,因此虹膜識別給用戶帶來的安全風(fēng)險(xiǎn)甚至大于指紋識別。如果你重視手機(jī)上的數(shù)據(jù),特別是用于支付的信息,使用傳統(tǒng)的個(gè)人身份識別碼(PIN)保護(hù)認(rèn)證,比使用身體特征的身份認(rèn)證更安全”。
安格林格警告稱,一些情況下,來自網(wǎng)絡(luò)的一張高清照片就足以捕捉住一個(gè)人的虹膜。
公司回應(yīng) 三星相同情況下示范試驗(yàn) 復(fù)制破解結(jié)果“非常困難”
針對這一事件,三星發(fā)表評論稱,會對民間組織的破解方法進(jìn)行調(diào)查。但其堅(jiān)持認(rèn)為,S8上的虹膜識別技術(shù)經(jīng)過了嚴(yán)密的論證,相當(dāng)可靠安全。
一名三星發(fā)言人在接受《每日郵報(bào)》采訪時(shí)稱,S8中的虹膜識別技術(shù)是經(jīng)過大量測試,提供了高水平的精確度,避免任何攻破其安全性的嘗試手段,例如使用一個(gè)人虹膜的照片。
三星發(fā)言人稱,使用正常照片中的虹膜是不可能的,無論分辨率多高,都不足以欺騙過這一安全性能。如果這一技術(shù)存在潛在的脆弱性,或是有新的手段出現(xiàn)來挑戰(zhàn)其安全性,公司將會盡可能快速地反應(yīng)并解決問題。
時(shí)隔一天,三星又一次站出來,再次就S8上的虹膜識別技術(shù)被民間組織破解一事回應(yīng),強(qiáng)調(diào)這種方法在實(shí)際使用中是不現(xiàn)實(shí)的,難以復(fù)現(xiàn)。
在一份聲明中,三星指出上述破解方法在實(shí)際應(yīng)用中難以實(shí)現(xiàn),因?yàn)槟阈枰玫娇梢圆蹲郊t外光的相機(jī),對機(jī)主虹膜進(jìn)行高分辨的捕捉,再打印照片,偷來機(jī)主手機(jī),最后借助隱形眼鏡解鎖。
三星稱,在現(xiàn)實(shí)中,整個(gè)場景都很難實(shí)現(xiàn)。三星在相同情況下進(jìn)行了示范,但是要復(fù)制上述結(jié)果“非常困難”。
不過,這位三星發(fā)言人提醒用戶,如果你對數(shù)據(jù)很在意,并有移動支付習(xí)慣的話,數(shù)字Pin密碼比任何生物識別技術(shù)都要靠譜。
早被質(zhì)疑 S8手機(jī)臉部識別功能被攻破 黑客:不要用生物特征識別
三星S8同時(shí)裝載有臉部識別功能。但是《衛(wèi)報(bào)》指出,這一安全性能甚至在手機(jī)還未正式開賣前就已經(jīng)被攻破,其很容易被打印出來的機(jī)主的照片所愚弄,攻破起來十分簡單。
對此,《每日郵報(bào)》稱,三星已經(jīng)承認(rèn)這一缺陷,并解釋稱人臉識別技術(shù)并不是一個(gè)安全性能,只是作為解鎖主屏幕的另外一種方式。
報(bào)道指出,在生物識別市場,三星幾乎以一己之力推動虹膜識別技術(shù)的普及。在市場營銷材料中,三星宣稱每個(gè)人虹膜中的圖案是獨(dú)一無二的,幾乎不可能去復(fù)制,這意味著這一虹膜識別系統(tǒng)是保護(hù)手機(jī)內(nèi)容私密性最安全的方式之一。但是很多人都想知道這種技術(shù)到底是否真正安全。
而此次“混沌電腦俱樂部”披露的內(nèi)容,更是引發(fā)人們對生物識別性能安全性的討論。盡管生物識別更加方便,相比于密碼也更難去盜取和造假,但是其也有利有弊。如果一旦手機(jī)被盜或是被黑客侵入的話,用戶就無法改變這一安全性能。
報(bào)道稱,擁有35年歷史的黑客組織“混沌電腦俱樂部”長期以來警告人們不要使用生物特征識別。其慣用技術(shù)手段揭露科技產(chǎn)品中生物識別系統(tǒng)的漏洞,讓科技巨頭十分尷尬。約在十年前,該組織成功從玻璃表面“盜取”時(shí)任德國財(cái)政部長沃爾夫?qū)?middot;舒伊布勒的指紋。當(dāng)時(shí)該組織在網(wǎng)絡(luò)上將部長指紋公布,以此抗議德國政府在電子護(hù)照中儲存德國人指紋信息。而早前在蘋果推出其Touch ID指紋后,這一組織48小時(shí)內(nèi)就將其攻破更是聲名大噪。
專家解讀
如何看待黑客“秒破”識別系統(tǒng)?
網(wǎng)絡(luò)安全咨詢公司浪石(WAVESTONE)香港負(fù)責(zé)人沙迪·安杜什(Chadi HANTOUCHE)接受記者采訪時(shí)表示,“混沌電腦俱樂部”的黑客非常知名,為世界級別有經(jīng)驗(yàn)的黑客。實(shí)施這一攻擊的是一個(gè)特定的工作隊(duì)伍。他們專門從事生物識別技術(shù)的攻擊。攻破生物識別技術(shù)對他們來說并不新穎。數(shù)年前,他們就已經(jīng)能夠盜取時(shí)任德國財(cái)政部長沃爾夫?qū)?middot;舒伊布勒的指紋。
安杜什稱,三星的這一系統(tǒng)的被攻破,很有可能說明三星缺乏對這一系統(tǒng)測試。在確保其安全性之前,三星可能太急于發(fā)布這一性能。出現(xiàn)這一問題可能是與識別計(jì)算程序的“薄弱性”等原因有關(guān)。現(xiàn)在需要看三星是否會發(fā)布一個(gè)補(bǔ)丁快速解決這一事情。
虹膜識別存在哪些安全風(fēng)險(xiǎn)?
安杜什表示,直接的風(fēng)險(xiǎn)就是(入侵者)能夠直接進(jìn)入到手機(jī)中,因此能夠獲取用戶諸如電子郵件、個(gè)人資料(文件、圖片和私人信息)等用戶數(shù)據(jù)。除此之外,訪問獲取儲存在手機(jī)中的生物識別數(shù)據(jù)(虹膜識別數(shù)據(jù))還存在一個(gè)潛在的風(fēng)險(xiǎn),那就是這些數(shù)據(jù)可能被重新利用于其他地方。
業(yè)界對這一技術(shù)是何看法?
生物識別已經(jīng)被網(wǎng)絡(luò)安全專家討論了數(shù)十年。但是現(xiàn)在大家都同意的一個(gè)觀點(diǎn)就是,生物識別不是秘密,它能夠在很多文件和圖片中被找到。數(shù)年前,指紋識別系統(tǒng)似乎出現(xiàn)在所有的手機(jī)之中(例如蘋果和三星的品牌手機(jī))。但是這一事實(shí)是令人害怕的,特別是在“混沌俱樂部”宣稱盜取了德國部長的指紋后。
而虹膜識別甚至更容易成為攻擊的目標(biāo),因?yàn)槿藗儾怀T谡掌锌吹饺藗兊氖种福菂s經(jīng)常看到他們的眼睛。“我們可以看到數(shù)碼相機(jī)分辨率越來越高,照片也越來越高清,虹膜和指紋能夠被很清楚地捕捉到。”
用戶怎樣避免信息泄露?
安杜什稱,即便這些攻擊看似不是非常復(fù)雜,但是需要獲取某人虹膜的高清圖片,然后打印,此后還需要拿到用戶的手機(jī)。這些攻擊都不能遠(yuǎn)程操作。因此也降低了風(fēng)險(xiǎn)。
對于如何避免這些風(fēng)險(xiǎn),從短期來講,用戶可以啟用S8上的虹膜識別性能,轉(zhuǎn)化為更加秘密的認(rèn)證方法。這些方法可以在手機(jī)丟失或是密碼、Pin數(shù)字密碼、解鎖模式被盜后重置或是更改。此外,用戶可以讓手機(jī)保持系統(tǒng)更新。黑客發(fā)布的破解流程:
1、使用相機(jī)夜間攝影模式,拍張機(jī)主臉部照片
2、擷取一邊眼睛的區(qū)域圖片,打印在一張紙上
3、將一片隱形眼鏡放到照片上的眼珠部位
4、進(jìn)入S8鎖定畫面,讓手機(jī)前鏡頭掃描此影像即可解鎖
01月07日 18:14
