腾讯首次攻破电容、光学和超声波三类指纹识别设备
智能手机、智能门锁、保险箱、考勤打卡…人类指纹150亿分之一的重复率,使得指纹解锁正在大范围应用在各种身份识别场景,但这就绝对安全吗?
据报道,在近日召开的GeekPwn 2019国际安全极客大赛上,腾讯安全玄武实验室披露了指纹识别领域的最新研究——自动化破解多种类型指纹识别。据悉,该研究通过提取用户在日常生活中留存的指纹,自动化进行克隆复原,进而通过各种指纹设备的验证。这次挑战也是国际上第一次成功攻破超声波屏下指纹识别技术。
腾讯安全玄武实验室在比赛现场成功完成挑战
为了更好地传递指纹设备的安全研究,腾讯安全玄武实验室研究员陈昱在现场,邀请观众共同完成该研究项目展示。在观众接触过一个玻璃水杯后,陈昱先是拿出手机拍摄观众留存在水杯上的指纹,随后在手机上调试之后“克隆”了一个全新的指纹,利用这个“新指纹”通过了该观众提前录好指纹的3台手机和2台考勤机的指纹识别,一共破解了使用电容、光学和超声波三种技术类型的指纹验证设备。
陈昱解释称,这是采用了屏幕图像采集技术以及指纹雕刻技术,首先通过使用特殊拍照方法提取手机、门锁、考勤机等物品上的指纹,经过指纹破解APP解析形成有效指纹信息,再借助雕刻机克隆指模,最后便可使用克隆指模通过各种验证。据腾讯方面介绍,这次挑战也是国际上第一次成功攻破超声波屏下指纹识别技术。
陈昱表示,“这次攻击成本,硬件成本加在一起1000多元,软件只是一部手机、一个指纹破解App”。指纹破解App项目的前期积累已有半年,做全类型指纹破解项目的时间则是一个多月,指纹破解App能够在小面积的指纹残影情况下提取复刻有效指纹。
今年早些时候,有报道称,拍照比“剪刀手”可能会泄露指纹信息,如果镜头距离够近,“剪刀手”照片通过照片放大技术和人工智能增强技术,就能将照片中人物的指纹信息还原出来。指纹信息通过照片被提取后通过专业材料制作成指纹膜,可被不法分子用于各种通过指纹技术来识别身份的渠道,比如指纹门锁、指纹支付等。
而陈昱不是拍摄手指,而是采集手指在玻璃杯等光滑平面上的指纹痕迹,“我们演示的是难度最高的玻璃杯采集。屏幕上采集指纹难度比玻璃杯低好几倍。在采集到指纹后,下一步是借助雕刻机克隆指模需要的材料,必须能导电,电阻率跟皮肤类似。其次,要能破超声,要有3D的信息,材料要易打印易雕刻。”陈昱称,这些材料市面上可以直接购买。
不过他表示,用户无需过分恐慌,虽然该技术可对多种类型指纹识别进行自动化破解,但用户只需在日常使用中养成及时擦去指纹的习惯,即可大幅提升指纹设备安全。玄武实验室也已与多家指纹验证设备提供商进行沟通,推动该问题的解决。他指出,完成攻破的条件苛刻,“所有攻击都是有条件的。我们今天的这个攻击,得拿到指纹,还得拿到攻击者的手机。条件其实也挺苛刻的。”
腾讯副总裁丁珂在GeekPwn致辞中表示,伴随着产业互联网的到来,极客们开始进入了攻防“下一战”,也将他们肩负的安全使命推向了更加重要的地位。安全的本质,是人和人的对抗,其实就是攻防。
毫无疑问,指纹解锁、面部解锁的安全问题不并不是孤例,而是产业互联网时代所有上下游产业链都需要共同面对并携手解决的安全隐患。腾讯安全玄武实验室在不断探索前沿技术的同时,还致力于打通产业链上下游的联动,建立良好的协同修复机制,帮助厂商及时修复安全漏洞,共同推进行业安全问题的解决。