关于指纹锁,我们不仅是追求时髦,更是考虑安全——
“何止是吃大闸蟹,有时候洗碗、洗衣服洗多了,也会开不进门。这个时候就要多刷几次,或者用密码。”用了10年密码锁、3年指纹锁的资深用户黄女士说。
关于对指纹锁的关注,还在持续。
在一场极客大赛上,腾讯安全玄武实验室通过获取玻璃表面指纹,进行自动化克隆复原,产生新指纹模型,通过了多款指纹身份认证设备的识别。
也就是说,日常生活中我们留存的指纹,如果被克隆复原后,就有可能打开各种指纹设备。
4个步骤、20分钟
就能成功解锁指纹锁
破解一个指纹设备需要几步,最新研究是这样的:
首先,使用特殊拍照方法提取手机、门锁、考勤机等物品上的指纹;接着,用指纹破解APP解析形成有效指纹信息;再借助雕刻机,克隆指模;最后,这些克隆指模,成功解锁了3部手机、2台指纹打卡机,整个过程一共花了20来分钟。
腾讯安全玄武实验室研究员陈昱解释了背后的技术原理:屏幕图像采集技术以及指纹雕刻技术。
“复制”与“粘贴”背后,是玄武实验室自研的指纹破解APP及指纹采集框,实现了在只有极小面积的指纹残影情况下,提取复刻有效指纹。这次挑战也是国际上第一次成功攻破超声波屏下指纹识别技术。
说简单好像也简单。陈昱说,这个指纹破解APP项目的前期积累花了半年时间,全类型指纹破解项目的时间则是一个多月。而且,这次攻击的硬件成本加在一起也就1000多元。
其实在去年的极客大赛上,腾讯安全玄武实验室就首次公开了针对屏下指纹解锁型设备的“残迹重用”漏洞——当机主未擦掉屏幕上留下的指纹时,通过特殊方法,利用屏幕上的指纹残迹欺骗指纹识别系统,成功解锁手机。
在发现该漏洞后,腾讯安全玄武实验室第一时间与华为等主流手机硬件厂商及上游芯片厂商商议修复方案,这个漏洞目前已被全面修复。眼下,玄武实验室正在与多家指纹验证设备提供商进行沟通,推动又一个新问题的技术解决。
指纹锁真有那么脆弱?
我们还能不能相信它
“用户无须过分恐慌,所有攻击都是有条件的。我们今天的这个攻击,得拿到指纹,还得拿到攻击者的手机,条件其实也挺苛刻的。” 陈昱说,只要在日常使用中养成及时擦去指纹的习惯,即可大幅提升指纹识别设备的安全性。
智能手机、智能门锁、保险箱、考勤打卡……指纹解锁正大范围应用在各种身份识别场景,尤其智能门锁,越来越多家庭开始使用。
记者求证了杭州几家智能门锁制造商。这几天正好是双11前夕,大家正忙着火热的促销活动,其中还有智能门锁产品登上了天猫双11爆款清单。
一家企业员工跟记者坦言,腾讯的这一技术达到一定的水平后,的确有可能复制指纹。
“但是,目前这个技术破解成本相对比较高。如果去破解,还不如强拆或用其他方式去达到开门的目的呢。” 这位员工还说,指纹的算法也在不断升级,技术在不断进步,消费者不要过度担心指纹锁的安全性。
“风险是相对的,关键是技术掌握在谁手上。况且,传统门锁就没风险?”另一位企业负责人则反问道,他说自己对智能门锁很有信心,下一步还要做人脸识别门锁。(记者 陈婕)