本报讯 (记者徐晶卉)指纹识别、虹膜识别、静脉识别……随着高科技的发展,生物识别技术开始普遍被用作新的生物认证方式,并有代替数字密码的趋势。但是,以“独一无二”为噱头的生物识别技术,真的没有安全隐患了吗? 昨天,来自美国加州大学圣芭芭拉分校的尼克·斯蒂芬斯在“极棒”(GeekPwn)极客嘉年华上“秀”了一手,震惊了科技界。
斯蒂芬斯在台上的演绎很简单:他邀请两位现场观众上台,一位负责在崭新的手机上输入指纹;然后,指导另一位观众下载一个App,并输入几行攻击代码,整个流程大约10分钟———后者惊奇地发现,自己已经可以成功解开指纹锁了。“不是所有的手机都可以破解指纹识别,这次是找到了华为P9手机中信任区(Trust Zone)的提权漏洞,我才能攻破。”斯蒂芬斯在接受记者采访时表示,指纹识别也可以被远程攻破,只不过还需要更多破解工具。
这是极客第一次真正意义上从软件层面破解指纹识别技术。此前,指纹识别的安全与否与技术本身并无关系,它的风险仅仅在于用户的指纹可能被窃取———比如,美国密歇根州立大学研究人员通过3D打印机、橡皮泥等工具建模,以此攻破指纹识别系统。
碁震(Keen)创始人兼CEO王琦透露,斯蒂芬斯这次采用的是篡改信任区里的指纹验证模块,在信任环境中进行提权,来攻破指纹识别的防线,“指纹识别搭配信任区技术作为最新的手机安全技术,一直被视为手机安全的最后一道防线,现在有极客突破了这道防线———如此一来,不仅用户的敏感数据可能被窃取,支付等高权限场景也可能被侵入”。
一位安全领域专家告诉记者,“相对于数字密码等现有方式,生物识别具有防伪性能好、私密性强、随身‘携带’等优点,肯定是一种更安全的技术。”但是,现有的生物识别技术并没有完全成熟:从物理层面上,它可能会因为个人数据被滥用而被恶意“复制”;从技术层面讲,现有的技术还需要更多的安全验证,才能被进一步推广。
斯蒂芬斯也表示,包括虹膜识别、人脸识别、指纹识别,这些生物识别技术的安全性能都差不多,只要系统存在漏洞,一样可以被攻破。王琦认为,不用过于担心生物识别技术的安全漏洞,因为这些极客攻破的系统漏洞,都会提交给硬件或软件厂商,以优化现有系统,为生物识别技术的进一步发展和安全提供支持;事实上,用户更需要做的,是有意识地保护自己的“身体密码”。