11亿人的人脸、指纹信息:50块竟然就能买到

最近,有媒体报道,亚马逊正在悄悄测试新的支付方式:用手掌支付。亚马逊的工程师们正在测试一种可以识别人手掌动作的扫描仪不需要用户直接接触,机器会扫描并辨别手掌的形状和动作,自动完成支付。未来几个月他们打算在美国旗下的全食超市(Whole Foods Market)中推广这一工具。

生物识别信息正在泄露

国内主流的移动支付工具,微信和支付宝,很早就将指纹用于支付身份验证,随着微信和支付宝的大力推进,面部识别方式也正推广开来。现在,亚马逊又加入手掌信息,支付工具对生物识别信息的使用越来越广泛。

除了支付,解锁智能手机、开智能锁、刷门禁......生物识别信息的应用范围越来越广。使用的种类也越来越多:指纹、虹膜、面部识别......但是,当这些生物信息被大规模使用时,泄露的风险也在增加。而且,真实的案例正在发生。

2019年8月14日,英国《卫报》就曾报道过一起大规模的数据泄露事件。一家叫做Suprema的生物科技公司,把大量未加密的用户数据放到网上,这些数据包含了100多万人的指纹、面部识别等敏感信息。由于数据未加密,也没有其他防护,其他人可以轻易获取。这些数据来自公司服务的各大机构,包括政府、银行、英国大都会警察局等。目前,还没有数据被其他人获取并滥用的报道,但造成的后果还不好说。

相较之下,印度的例子要严重得多。2009年,印度启动了一项宏大的计划,将全国超过95%人口的生物识别信息纳入国家数据库Aadhaar大约11亿人的姓名、地址、手机号,以及指纹、相片、虹膜扫描等信息被保存

但滑稽的是,这些数据并没有得到严格的保护,数据库很快就被黑客攻破,现在,通过WhatsApp上的匿名群组,任何人都能以500卢比(相当于人民币50块钱)的低廉价格买到这11亿人的生物识别信息。未来,将有无数人可以使用这些信息,和这11亿人的信息相比,Suprema泄露的信息甚至显得有些微不足道。

过去,我们使用账号密码的方式验证身份,保护不当泄露的话,可能会遭受不少损失。现在使用生物识别信息验证身份,信息也发生了泄露,只是这些信息的泄露要严重很多,账号密码是可更改的,可以随时变换。但生物信息是唯一的且不可更改的,一旦泄露,风险就会伴随终生。

指纹、面部识别没你想的那么安全

尽管所有的服务商都会强调自己的生物识别技术非常先进,破解非常困难,十分安全。但事实上它们并没有那么安全,现在市面上最常见的指纹识别面部识别两种方式都是可以破解的

指纹识别最早是在2011年出现在手机上的,当时的摩托罗拉Atrix 4G就使用了指纹识别,但真正开始流行起来是在2013年,当时苹果发布iPhone 5s,再次把指纹识别用到了手机上,并称其为Touch ID。随后,一众手机厂商开始追随苹果,指纹识别开始流行开来。

为了提高Touch ID的安全性,苹果下了不少功夫,为此还花3.56亿美元收购了Authentec,一家全球顶尖的指纹认证传感器方案提供商。对手机上的指纹识别模块,苹果也一再强调其安全性。然而,距iPhone 5s开售仅仅24小时,Touch ID就被黑客破解了。

无独有偶,苹果2017年发布iPhone X的时候,使用了面容识别系统Face ID,在发布会上苹果大费周章地展示这个技术的强大,并表示这个新技术无比安全,但最后还是打了脸。先是被报道可能会被双胞胎骗过验证,接着,在2019年举办的世界黑帽安全大会上,被腾讯团队使用一副特制的眼镜就破解了

苹果的Touch ID和Face ID的技术在业界都是领先的,尚且会被破解,其他使用屏下指纹和2D面容识别的手机,破解难度也不会高过苹果,事实上,相关的破解新闻在互联网上很容易搜到,使用生物信息识别并没有那么安全

当然,对于普通人来说,手机被破解的风险实际上是很小的。因为这些破解方法都很复杂,成本也不低,普通人的手机,根本不值得黑客浪费精力破解。

先说指纹识别,黑客想要破解,首先需要获取一份清晰的指纹图像样本,黑客需要确定用户使用的是哪一只手指,并且还要确保手指干净,这些条件已经比较苛刻。怎样提取清晰的指纹样本同样复杂,没有专业的知识很难办到。制造一份假的指纹副本还需要昂贵的设备。面对这么高昂的成本,黑客不可能随便去破解一个人的手机。

对Face ID的破解相对简单一些,腾讯团队利用苹果活体检测的漏洞,特制了一副叫做“X-glasses”的眼镜,他们在眼镜上贴上一张黑胶布,并在黑胶布中央贴上一小块白胶布,借此伪装成人眼,骗过苹果的活体检测。不过这个破解同样有很多局限,首先需要使用到被破解者本人的面容,还需要被破解者不作任何反抗。《福布斯》的记者们也曾使用3D打印的人脸石膏模型破解市面上的一些旗舰手机:LG G7 ThinQ、三星 S9、三星 Note 8 和一加 6,但是他们没能破解iPhone的Face ID。

所以说,尽管可以破解,但是获取信息的成本和破解的成本都是比较高的,普通人暂时不需要担心安全问题。

使用生物识别需要慎重

但是,除了手机,对于其他使用生物识别信息的设备,获取成本是否同样这么高呢?而且,生物识别信息的使用有逐渐扩大的趋势,各个服务商对信息的保护能力是不同的,一旦这些信息的使用规模变大,获取生物信息的成本也许就不那么高了。

而且,泄露这些不可更改的生物识别信息之后,不仅仅是相关服务会面临长期隐患,在一些犯罪活动中,这些信息也可能被利用,犯罪分子可以伪造生物识别信息作为证据,也可以用于伪造身份,这可能使普通人面临自证的困难。所以,当生物识别信息被大规模应用,获取成本降低之后,风险可能比我们想象的大。

在生物识别逐渐普及的今天,普通人在使用相关服务时,还是应该谨慎一些,比如:那些会在云端存储生物识别信息的服务能不用就不用,毕竟服务商保护信息的能力参差不齐;尽可能减少生物识别信息的使用,减少泄露的风险;保护好自己的隐私,不要随便泄露自己的生物识别信息。

确实有很多人愿意为便利付出一些代价,随意使用生物识别信息也是个人自由,只是,为自由付出的代价也要自己承担。所以,对个人而言,如果愿意减少一些风险,使用生物识别信息时还是谨慎一些比较好。对于服务商来说,如果没有足够的能力保护信息安全,还是不要轻易获取客户的这些信息。同时,还是希望有可靠的机制保证服务商获取信息的途径是合法的,使用的方式是合理的。