生物特征包括指纹、声纹、虹膜、人脸识别等;行为特征包括键盘按键行为、鼠标移动轨迹、笔迹、指压等。以虹膜为例,虹膜具有****的纹理结构,可以**标识个体身份,且可进行非接触采集,对用户干扰小。除此而外,还有面部识别,指纹识别、静脉识别……
如今,随着高科技的发展,生物识别技术开始普遍被用作新的生物认证方式,并有代替数字密码的趋势。但是,以“****”为噱头的生物识别技术,真的没有**隐患了吗?近日,来自美国加州大学圣芭芭拉分校的尼克·斯蒂芬斯在“极棒”(GeekPwn)极客嘉年华上“秀”了一手,震惊了科技界。
斯蒂芬斯在台上的演绎很简单:他邀请两位现场观众上台,一位负责在崭新的手机上输入指纹;然后,指导另一位观众下载一个App,并输入几行攻击代码,整个流程大约10分钟———后者惊奇地发现,自己已经可以成功解开指纹锁了。“不是所有的手机都可以破解指纹识别,这次是找到了华为P9手机中信任区(TrustZone)的提权漏洞,我才能攻破。”斯蒂芬斯在接受记者采访时表示,指纹识别也可以被远程攻破,只不过还需要更多破解工具。
这是极客**次真正意义上从软件层面破解指纹识别技术。此前,指纹识别的**与否与技术本身并无关系,它的风险仅仅在于用户的指纹可能被窃取———比如,美国密歇根州立大学研究人员通过3D打印机、橡皮泥等工具建模,以此攻破指纹识别系统。
碁震(Keen)创始人兼CEO王琦透露,斯蒂芬斯这次采用的是篡改信任区里的指纹验证模块,在信任环境中进行提权,来攻破指纹识别的防线,“指纹识别搭配信任区技术作为*新的手机**技术,一直被视为手机**的*后一道防线,现在有极客突破了这道防线———如此一来,不仅用户的敏感数据可能被窃取,支付等高权限场景也可能被侵入”。
一位**领域专家告诉记者,“相对于数字密码等现有方式,生物识别具有防伪性能好、私密性强、随身‘携带’等优点,肯定是一种更**的技术。”但是,现有的生物识别技术并没有完全成熟:从物理层面上,它可能会因为个人数据被滥用而被恶意“复制”;从技术层面讲,现有的技术还需要更多的**验证,才能被进一步推广。
斯蒂芬斯也表示,包括虹膜识别、人脸识别、指纹识别,这些生物识别技术的**性能都差不多,只要系统存在漏洞,一样可以被攻破。王琦认为,不用过于担心生物识别技术的**漏洞,因为这些极客攻破的系统漏洞,都会提交给硬件或软件厂商,以优化现有系统,为生物识别技术的进一步发展和**提供支持;事实上,用户更需要做的,是有意识地保护自己的“身体密码”。
公安机关备案号:
