“万能指纹”解锁手机成功率竟高达65%！让人不由细思极恐

TechWeb · 公众号 · 科技媒体 · 2017-04-12 15:18

正文

鸟叔今天在微博看到一则关于指纹识别的文章，里面大概的意思是指纹解锁很可能被人为的破解，不是程序破解，而是外面破解，并且可以用于解锁指纹支付之类的密码。

吓到鸟叔了

据外媒报道，美国纽约大学和密歇根州立大学研究人员周一发布的一项研究成果显示，利用人类指纹某些共同点制作的虚假指纹，可以很容易骗过智能手机的指纹传感器。

指纹传感器给当代智能手机带来了巨大的便利，用户只需进行指纹识别即可解锁手机，且无需输入密码。

此外，Apple Pay和Android Pay等支付服务也支持指纹支付。在手机银行应用中，指纹识别可以帮助用户支付账单或转账。（鸟叔要吐槽下，现在处处都是指纹识别的引用，主要是懒人太多，简单方便已成为主流）

其实指纹识别存在着巨大的漏洞，在研究人员不懈的努力下，通过计算机模拟，设计了一系列人造的“主指纹”，与指纹传感器中的真实指纹匹配率高达65%。（鸟叔很纠结为什么要在这个上面努力，做出来就为了论证手机指纹解锁有麻烦了嘛）

交错的指纹

相关学术的报道

研究人员并未在真实手机中测试这种攻击方式。另一些信息安全专家表示，在实际情况下，匹配率可能会大幅降低。不过，这项研究结果给智能手机指纹识别的可靠性提出了疑问。

加拿大卡尔顿大学系统和计算机工程教授安迪·阿德勒(Andy Adler)表示：“情况并非如此令人担忧，但确实很不妙。如果我想做的是拿你的手机，使用你的Apple Pay去买东西，如果我能破解1/10的手机，那么情况就很严重。”

在外媒的报道中有明确说明：“完整的人类指纹很难伪造，但手机上的指纹传感器尺寸很小，只会扫描指纹的一部分。如果用户在iPhone或Android手机上启用指纹识别，那么手机通常会获取8到10幅指纹图像，从而更方便地进行匹配。此外，许多用户还会记录不止一个指纹。”

鸟叔讲解下，在这个说明中，因为人类手指记录的指纹只是其中一部分，也就是说每次制造一个假的指纹去破解，就会变得不是那么难。因为你只需要蒙对其中一小部分的正确指纹数据，就可以降低解锁的难度了。（ 就相当于8位数的密码变为了4位数的密码 ）

相关学术的报道

研究的作者之一、纽约大学计算机科学和工程教授纳斯尔·梅蒙(Nasir Memon)表示：“这就像是你使用30个密码，而攻击者只需匹配其中一个即可。”相关论文已发表在《IEEE信息鉴定和安全期刊》上。

梅蒙表示，这项研究表明，如果可以利用“主指纹”制造“魔术手套”，那么只需5次尝试就可以解锁40%至50%的iPhone，而iPhone此时仍不会要求用户输入密码。