自拍剪刀手会泄密?说的没错,但风险被夸大

伪造指纹并不像简要新闻里说的那么容易,比如从各种场景中提取指纹,就是伪造指纹的重要一环。如果这都无法提取,后续的指纹伪造攻击就无从谈起。

15日,2019年国家网络安全宣传周上,上海信息安全行业协会副主任张威的一句安全提醒引来轩然大波,“基本上1.5米内拍摄的剪刀手照片就能100%还原出被摄者的指纹,在1.5米-3米的距离内拍摄的照片能还原出50%的指纹,只有超过3米拍摄的照片才难以提取其中的指纹。”

事实真如他所说如此严重?黑奇士(id hqssima)对其展开了调查。

2017年12月,某安全实验室对主流品牌手机所做的安全测试,当时选取的8款手机,都无法承受指纹伪造的“5-5攻击”(5分钟内,所耗用成本不超过5毛钱)。但相对而言,国产厂商汇顶科技的指纹识别方案,相对最为成熟,攻击难度最大。

(百度的测试结果,8款手机全部沦陷)

深扒“剪刀手泄密”根源:手机摄像头越来越清楚

黑奇士采访的安全专家介绍说,目前的指纹识别基本原理都类似:都是通过传感器把生物特征投影成像为数字信号,指纹也不例外。具体来说分为指纹图像提取、预处理、特征提取、比对等步骤。

但指纹识别,不像一般人想象的那样,把识别的图像跟已经储存的图像做对比。而是提取出一串特征值,跟数据库中已有的特征值做对比。相同率百分之多少以上,就认为是同一个指纹。

这样,就存在着伪造指纹的攻击空间,只要获取到指纹的照片,通过算法增强、AI提取特征,就可能攻破指纹识别验证。

而且现在的手机摄像头分辨率越来越高,像某些品牌的高端手机摄像头分辨率已经到了4000万,普通手机摄像头的分辨率也有1000多万,如果是图片原图的话,分辨率已经足够清楚(从剪刀手提取指纹特征)。

这也就是张威主任所说的,“1.5米拍摄,100%还原指纹”所表达的意思。

指纹伪造有前提:美图美颜有干扰

但是,伪造指纹并不像简要新闻里说的那么容易,比如从各种场景中提取指纹,就是伪造指纹的重要一环。如果这都无法提取,后续的指纹伪造攻击就无从谈起。

所以,有些网友开玩笑的说,“美颜手机是保护隐私的利器,美颜之后别说指纹,连酒窝都没了”

(美颜之后的黄晓明和网红阿纯)

而且专家提醒说,要想从图片中提取剪刀手的指纹特征,最好是分辨率较高的图片原图(一张图片十几兆那种),从网上随便找的图因为可能有美颜、压缩等操作干扰,从中提取指纹特征难度较高。

根据百度安全实验室的测试文章,提取指纹特征更多的场景,其实是从按指纹的合同中提取,或者从手机壳、玻璃等光滑表面拍摄的汗污指纹,“剪刀手图片”仅仅是各种场景中较不常见的一种。

(从上图的手机壳上翻拍处理过的指纹图,来自百度安全实验室)

指纹识别:需要加入生物识别特征

每次当手机厂商发布有关生物特征识别的产品时,总会有人有各种担心,比如iPhone中加入face id,就有人发布破解方案,这些都给普通读者带来恐慌。

因为,生物特征一旦识别无法改变。每个人的指纹都是独一无二的,相同概率大概只有150亿分之一。而指纹识别的成本又相对较低,从而迅速成为手机保证安全的基础模块之一。

但是,单一的生物识别必然存在种种问题,比如虹膜和指纹识别,很容易被欺骗或绕过。因此,百度安全实验室专家在文章中呼吁“指纹方案厂商、手机厂商增强指纹防攻击方面的能力,让每一个人可以安全、便捷的使用指纹识别。”

翻译成普通人能明白的话说,就是:指纹识别厂商,你们所谓的“生物识别技术,别老存在于PR文章中,也需要变成实际产品落地”;

手机厂商,你们要考虑用户的安全需求,别为了省几块钱的成本,就选择更便宜的指纹识别方案。安全上不出事还好,出事就是大事,让用户倾家荡产的那种;

对于普通用户,你们别觉得指纹识别很高科技很厉害,要破解他,五毛钱就够了。如果转账或其他场景要用,最好别光依赖指纹,还要加上密码验证、生物识别和行为风控判断。

专家建议:普通用户要学会这三招

安全专家提醒用户:

1、尽量不要在朋友圈、各种群等公开场合发布自拍照,如果要发,最好要去掉图片特征(抹掉GPS坐标、拍照设备型号等等),经过压缩、美颜等处理后再发。(自拍照可以泄露很多隐私)

2、在使用指纹、虹膜等作为认证的时候,最好叠加其他认证,比如在iPhone账号上,开启手机账号双重验证,大额银行转账不要依赖单一认证因素。

3、注意保护自己的生物特征信息,比如,按指纹的合同文本,在执行完毕之后要收回;手机壳、手机屏幕上的汗污指纹,要及时清除;从单位离职时,指纹打卡机上的面容识别要清除等等。

(这个合同指纹就很容易被人翻拍,来源:百度安全实验室)