原标题:三星手机遭黑客“秒破”骗过S8手机虹膜识别
英国《卫报》报道称,这一手机在上市不到一个月时间内被曝出遭德国黑客轻松攻破。欧洲最大的黑客联盟“混沌电脑俱乐部”近日发布视频称,三星手机“虹膜识别”这一安全性能,完全被“仿制的眼睛”给欺骗了,系统误以为其是来自手机主人而自动解锁。
其实,三星Note 7首次搭载了虹膜识别新科技,号称比指纹还要安全数倍。不过在经历“爆炸门”事件后,这一新科技完全被“湮没”。
“秒”被解锁 照片造出“仿制眼”骗过S8手机虹膜识别
虹膜是位于眼睛黑色瞳孔和白色巩膜之间的圆环状部分,其包含有很多相互交错的斑点、细丝、冠状、条纹、隐窝等细节特征。虹膜在胎儿发育阶段形成后,整个生命历程中将是保持不变的。这些特征决定了虹膜特征的唯一性,同时也决定了身份识别的唯一性。因此,可以将眼睛的虹膜特征作为每个人的身份识别对象。
不过,“混沌电脑俱乐部”却制造出“仿制眼”,让看似高端的虹膜解锁形同虚设。而且整个过程只需要一台具有夜间摄影模式的傻瓜相机、一台打印机以及一片能够吻合眼睛弧度的隐形眼镜。
“混沌电脑俱乐部”发布的视频中,公布了具体的操作方法。黑客首先使用一部普通的索尼相机,在“夜间模式”下拍得机主眼睛的红外照片。随后将照片进行裁剪并打印。随后,将隐形眼镜放置在照片中的眼球位置,调整镜片到适当的弧度后,最终成功骗过S8手机的虹膜识别。
《每日邮报》报道称,整个破解过程只需要数分钟就完成了。“混沌电脑俱乐部”的发言人德尔克·安格林格称:“对使用者来说,眼睛暴露在外的几率要比遗留指纹还高,因此虹膜识别给用户带来的安全风险甚至大于指纹识别。如果你重视手机上的数据,特别是用于支付的信息,使用传统的个人身份识别码(PIN)保护认证,比使用身体特征的身份认证更安全”。
安格林格警告称,一些情况下,来自网络的一张高清照片就足以捕捉住一个人的虹膜。
公司回应 三星相同情况下示范试验 复制破解结果“非常困难”
针对这一事件,三星发表评论称,会对民间组织的破解方法进行调查。但其坚持认为,S8上的虹膜识别技术经过了严密的论证,相当可靠安全。
一名三星发言人在接受《每日邮报》采访时称,S8中的虹膜识别技术是经过大量测试,提供了高水平的精确度,避免任何攻破其安全性的尝试手段,例如使用一个人虹膜的照片。
三星发言人称,使用正常照片中的虹膜是不可能的,无论分辨率多高,都不足以欺骗过这一安全性能。如果这一技术存在潜在的脆弱性,或是有新的手段出现来挑战其安全性,公司将会尽可能快速地反应并解决问题。
时隔一天,三星又一次站出来,再次就S8上的虹膜识别技术被民间组织破解一事回应,强调这种方法在实际使用中是不现实的,难以复现。
在一份声明中,三星指出上述破解方法在实际应用中难以实现,因为你需要拿到可以捕捉红外光的相机,对机主虹膜进行高分辨的捕捉,再打印照片,偷来机主手机,最后借助隐形眼镜解锁。
三星称,在现实中,整个场景都很难实现。三星在相同情况下进行了示范,但是要复制上述结果“非常困难”。
不过,这位三星发言人提醒用户,如果你对数据很在意,并有移动支付习惯的话,数字Pin密码比任何生物识别技术都要靠谱。
早被质疑 S8手机脸部识别功能被攻破 黑客:不要用生物特征识别
三星S8同时装载有脸部识别功能。但是《卫报》指出,这一安全性能甚至在手机还未正式开卖前就已经被攻破,其很容易被打印出来的机主的照片所愚弄,攻破起来十分简单。
对此,《每日邮报》称,三星已经承认这一缺陷,并解释称人脸识别技术并不是一个安全性能,只是作为解锁主屏幕的另外一种方式。
报道指出,在生物识别市场,三星几乎以一己之力推动虹膜识别技术的普及。在市场营销材料中,三星宣称每个人虹膜中的图案是独一无二的,几乎不可能去复制,这意味着这一虹膜识别系统是保护手机内容私密性最安全的方式之一。但是很多人都想知道这种技术到底是否真正安全。
而此次“混沌电脑俱乐部”披露的内容,更是引发人们对生物识别性能安全性的讨论。尽管生物识别更加方便,相比于密码也更难去盗取和造假,但是其也有利有弊。如果一旦手机被盗或是被黑客侵入的话,用户就无法改变这一安全性能。
报道称,拥有35年历史的黑客组织“混沌电脑俱乐部”长期以来警告人们不要使用生物特征识别。其惯用技术手段揭露科技产品中生物识别系统的漏洞,让科技巨头十分尴尬。约在十年前,该组织成功从玻璃表面“盗取”时任德国财政部长沃尔夫冈·舒伊布勒的指纹。当时该组织在网络上将部长指纹公布,以此抗议德国政府在电子护照中储存德国人指纹信息。而早前在苹果推出其Touch ID指纹后,这一组织48小时内就将其攻破更是声名大噪。
专家解读
如何看待黑客“秒破”识别系统?
网络安全咨询公司浪石(WAVESTONE)香港负责人沙迪·安杜什(Chadi HANTOUCHE)接受记者采访时表示,“混沌电脑俱乐部”的黑客非常知名,为世界级别有经验的黑客。实施这一攻击的是一个特定的工作队伍。他们专门从事生物识别技术的攻击。攻破生物识别技术对他们来说并不新颖。数年前,他们就已经能够盗取时任德国财政部长沃尔夫冈·舒伊布勒的指纹。
安杜什称,三星的这一系统的被攻破,很有可能说明三星缺乏对这一系统测试。在确保其安全性之前,三星可能太急于发布这一性能。出现这一问题可能是与识别计算程序的“薄弱性”等原因有关。现在需要看三星是否会发布一个补丁快速解决这一事情。
虹膜识别存在哪些安全风险?
安杜什表示,直接的风险就是(入侵者)能够直接进入到手机中,因此能够获取用户诸如电子邮件、个人资料(文件、图片和私人信息)等用户数据。除此之外,访问获取储存在手机中的生物识别数据(虹膜识别数据)还存在一个潜在的风险,那就是这些数据可能被重新利用于其他地方。
业界对这一技术是何看法?
生物识别已经被网络安全专家讨论了数十年。但是现在大家都同意的一个观点就是,生物识别不是秘密,它能够在很多文件和图片中被找到。数年前,指纹识别系统似乎出现在所有的手机之中(例如苹果和三星的品牌手机)。但是这一事实是令人害怕的,特别是在“混沌俱乐部”宣称盗取了德国部长的指纹后。
而虹膜识别甚至更容易成为攻击的目标,因为人们不常在照片中看到人们的手指,但是却经常看到他们的眼睛。“我们可以看到数码相机分辨率越来越高,照片也越来越高清,虹膜和指纹能够被很清楚地捕捉到。”
用户怎样避免信息泄露?
安杜什称,即便这些攻击看似不是非常复杂,但是需要获取某人虹膜的高清图片,然后打印,此后还需要拿到用户的手机。这些攻击都不能远程操作。因此也降低了风险。
对于如何避免这些风险,从短期来讲,用户可以启用S8上的虹膜识别性能,转化为更加秘密的认证方法。这些方法可以在手机丢失或是密码、Pin数字密码、解锁模式被盗后重置或是更改。此外,用户可以让手机保持系统更新。黑客发布的破解流程:
1、使用相机夜间摄影模式,拍张机主脸部照片
2、撷取一边眼睛的区域图片,打印在一张纸上
3、将一片隐形眼镜放到照片上的眼珠部位
4、进入S8锁定画面,让手机前镜头扫描此影像即可解锁