原标题:研究发现:“万能指纹”可侵入1/3智能手机
美媒称,研究人员已经研发出人工指纹,他们说有朝一日可能被用来侵入日常装置。
据美国消费者新闻与商业频道网站12月31日报道,美国纽约大学和密歇根州立大学的研究人员2018年早些时候成功生成了被他们称作“深度万能指纹”(DeepMasterPrint)的人工指纹。这些是充当某种“万能钥匙”的机器学习手段,研究人员称它们有可能解锁大约1/3的采用指纹保护的智能手机。
在2018年10月发表的论文中,作者们说,合成指纹可能“被对手用来发动攻击……这可能危及基于指纹识别的系统安全性”。
参与这项研究的菲利普·邦特拉格、阿迪蒂·罗伊、朱利安·托格柳斯、纳西尔·梅蒙和阿伦·罗斯说,智能手机和其他设备识别指纹的方式常常存在问题。
他们在接受该网站的电话采访时说:“手机和其他许多设备没有采集你的完整指纹图像。设备上没有足够的空间,所以它们采集部分指纹图像——这并不如完整图像那么安全。(有人认为)设备将他们的指纹图像拼接起来,但实际情况并非如此——手机保存的是部分指纹的图像集。”
对于替代密码保存的每个手指的指纹,设备都保存多个图像。如果有人用自己的手指解锁这个设备,他们只需与设备安全系统中的部分指纹图像中的一个相匹配。
研究人员说:“如果你保存3个手指的指纹,设备会保留30个左右的部分指纹图像。有了万能指纹,你只要生成少量的——5个或10个——部分指纹图像就可以了。”
他们还说,万能指纹能解锁“数量相当大”的手机——将近1/3。
尽管研究人员对该网站说,他们的发现可能对安全系统构成潜在威胁,但软件开发人员可以做一些事情来使这种攻击更难实施。
那篇论文说:“评估指纹识别系统漏洞的研究是在修复漏洞和发现新漏洞之间的一场持续军备竞赛。对研究人员来说,重要的是发现新漏洞,以便加以弥补。”
许多开发者已经在将传感器从设备的按钮移到屏幕上,使设备能够采集分辨率更高的图像,从而使指纹扫描仪更加安全。
研究人员说:“一些智能手机把传感器装在细小的侧边键上——确实是方便,但安全性较低。它们的传感器只能记录约1/4的指纹特征。”
大多数智能手机给用户提供了设置指纹识别功能来解锁设备、验证支付和解锁银行账户的选项。亚马逊英国网站提供2000多种与指纹安全相关的产品,包括挂锁和保险箱等。
据透露,今年7月万事达卡与英国各银行就推出带有集成指纹扫描仪的信用卡进行了磋商,从而为生物识别支付系统打开了市场。
大公司也在利用生物识别技术为客户提供更顺畅的体验。美国达美航空公司已经允许乘客使用指纹登机和进入机场休息室,而美国赫兹租车公司最近在亚特兰大国际机场推出了一种生物识别系统,可让租车速度提高75%。
达美航空和赫兹租车所使用的指纹识别技术的研发公司克利尔公司在电邮中对该网站说,只要公司提供适当的安全保障,“毫无疑问”生物识别技术比传统的身份识别更安全。
克利尔公司“不出租、出售和分享会员数据”。上周,美国国土安全部的一名发言人在电邮中说,该平台也是《开发有效技术支持反恐法》认证的合格反恐技术。
责任编辑:张申