雖然大家都認(rèn)為兩個人不可能會有完全相同的指紋,但紐約大學(xué)坦登工程學(xué)院(New York University Tandon School of Engineering;NYU Tandon)與密西根大學(xué)(Michigan State University)的研究人員現(xiàn),只要指紋有一部份的相似性, 對于智能型手機(jī)與其他電子產(chǎn)品所使用的安全辨識系統(tǒng)來說就足以開機(jī)解鎖了;這種以指紋為基礎(chǔ)的系統(tǒng)安全性比想象中更脆弱。
這種安全漏洞在于以指紋為基礎(chǔ)的認(rèn)證系統(tǒng)搭配了無法擷取用戶完整指紋的小型傳感器。 取而代之的是,他們能掃描并儲存部份指紋,而且許多智能型手機(jī)還讓用戶可在其認(rèn)證系統(tǒng)中注冊多個不同的手指指紋。
當(dāng)用戶的指紋符合所儲存的任一部份指紋時,即可確認(rèn)身份。 研究人員假設(shè),不同人的部份指紋之間可能存在某種相似性,足以創(chuàng)造出所謂的「萬能指紋」(MasterPrint)。
紐約大學(xué)Tandon計(jì)算機(jī)科學(xué)與工程系教授Nasir Memon解釋,對于試圖以常用密碼(如1234)破解PIN密碼的黑客而言,MasterPrint的概念存在著若干的相似性。 「密碼1234大約有4%的機(jī)會是正確的,如果你只是隨猜測的話,這樣的機(jī)率已經(jīng)是相當(dāng)高了。 」
研究團(tuán)隊(duì)著手調(diào)查是否能找到足以顯示類似漏洞的MasterPrint。 實(shí)際上,他們發(fā)現(xiàn)人類指紋圖像的某些屬性足以引起安全性問題。
紐約大學(xué)坦登工程學(xué)院博士后研究員Aditi Roy與密執(zhí)安州立大學(xué)計(jì)算機(jī)科學(xué)與工程系教授Arun Ross,使用了8,200個部份指紋進(jìn)行分析。 研究人員使用商業(yè)指紋驗(yàn)證軟件后發(fā)現(xiàn),在每一組隨機(jī)抽取的800個部份指紋中,就有92個可能的MasterPrints。 (研究人員對MasterPrints的定義是在每一組隨機(jī)樣本中至少有4%的指紋配對成功)
然而,他們發(fā)現(xiàn),在800個完整指紋中隨機(jī)抽樣,只有一個完整的MasterPrints指紋。 Memon說:「這一點(diǎn)也不足為奇,僅使用部份指紋比完整指紋更可能配對錯誤,但大多數(shù)的裝置卻僅依靠部份指紋進(jìn)行辨識。 」
研究團(tuán)隊(duì)分析了從真實(shí)指紋影像中剔除的MasterPrint屬性,然后打造出一種可創(chuàng)造合成部份MasterPrints的算法。 根據(jù)實(shí)驗(yàn)顯示,合成部份指紋具有更廣泛配對的潛力,使其更可能「騙過」生物辨識安全系統(tǒng)。
研究人員利用其數(shù)字仿真的MasterPrints,成功地配對26%至65%的用戶,具體取決于每個用戶儲存的部份指紋數(shù)以及假定每次身份驗(yàn)證每次最多五次的指紋數(shù)。 智能型手機(jī)為每個用戶儲存的部份指紋越多,系統(tǒng)就越脆弱。
Roy強(qiáng)調(diào),這項(xiàng)研究是在仿真的環(huán)境中完成的。 她強(qiáng)調(diào),研究人員改善了創(chuàng)造合成的指紋與技術(shù),以便將數(shù)字MasterPrints移植到實(shí)體對象,騙過造成重十安全隱憂的裝置。
MasterPrint的配對能力高,對于設(shè)計(jì)可信賴的指紋認(rèn)證系統(tǒng)帶來了挑戰(zhàn),同時也增強(qiáng)了多種證機(jī)制的需求。 她說,這項(xiàng)研究結(jié)果可為未來的設(shè)計(jì)提供參考。
Ross指出:「隨著指紋傳感器的尺寸越來越小,傳感器的分辨率率必須大幅提高,才能擷取到更多的指紋特征。 如果無法提高分辨率,用戶的指紋獨(dú)特性將不可避免地會大打折扣。 我們的研究人員在這項(xiàng)研究中進(jìn)行的實(shí)證分析顯然證實(shí)了這一點(diǎn)。 」
Memon指出,研究團(tuán)隊(duì)的研究結(jié)果是根據(jù)指紋特征點(diǎn)(minutiae)的配對,任何供貨商可能選擇采用或不采用。 然而,只要有部份指紋用于解鎖手機(jī)或其他裝置,以及儲存每個指紋的多個部份特征,那么找到MasterPrints的機(jī)率也將明顯增加。
美國國家科學(xué)基金會(NSF)運(yùn)算與通訊基全會計(jì)劃主任Nina Amla說:「NSF在網(wǎng)絡(luò)安全研究方面的投資,建構(gòu)了保護(hù)我們于網(wǎng)絡(luò)空間中所需要的基礎(chǔ)知識。 就像NSF贊助的其他研究計(jì)劃一樣,這項(xiàng)研究有助于我們在日常生活的技術(shù)中找到如何辨識安全漏洞的方法,而研究指紋認(rèn)證系統(tǒng)的弱點(diǎn),將有助于推動在安全方面的持續(xù)進(jìn)展,為用戶確保更安全可靠的保護(hù)。 」
計(jì)算和通信基金會計(jì)劃主任Nina Amla表示:“NSF對網(wǎng)絡(luò)安全研究的投資構(gòu)建了保護(hù)我們網(wǎng)絡(luò)空間所需的基礎(chǔ)知識庫。 “像其他NSF資助的研究一樣,幫助識別日常技術(shù)(例如汽車或醫(yī)療設(shè)備)的漏洞,調(diào)查基于指紋的認(rèn)證系統(tǒng)的漏洞可以使安全性不斷提升,確保更加可靠的保護(hù)用戶。
編譯:Susan Hong
(參考原文:Fingerprint security on smartphones more vulnerable than thought,by Jean-Pierre Joosting)
01月07日 18:14
