2019年中國國際五金展上,指紋鎖、密碼鎖展台頗受關注。視覺中國供圖
關於指紋鎖,我們不僅是追求時髦,更是考慮安全——
「何止是吃大閘蟹,有時候洗碗、洗衣服洗多了,也會開不進門。這個時候就要多刷幾次,或者用密碼。」用了10年密碼鎖、3年指紋鎖的資深用戶黃女士看了本報報道的《連剝5隻大閘蟹,姑娘回家指紋鎖打不開了》(錢江晚報10月21日11版)後,有話想說。
關於對指紋鎖的關注,還在持續。
在一場極客大賽上,騰訊安全玄武實驗室通過獲取玻璃表面指紋,進行自動化克隆復原,產生新指紋模型,通過了多款指紋身份認證設備的識別。
也就是說,日常生活中我們留存的指紋,如果被克隆復原後,就有可能打開各種指紋設備。
4個步驟、20分鐘
就能成功解鎖指紋鎖
破解一個指紋設備需要幾步,最新研究是這樣的:
首先,使用特殊拍照方法提取手機、門鎖、考勤機等物品上的指紋;接著,用指紋破解APP解析形成有效指紋信息;再藉助雕刻機,克隆指模;最後,這些克隆指模,成功解鎖了3部手機、2台指紋打卡機,整個過程一共花了20來分鐘。
騰訊安全玄武實驗室研究員陳昱解釋了背後的技術原理:螢幕圖像採集技術以及指紋雕刻技術。
「複製」與「粘貼」背後,是玄武實驗室自研的指紋破解APP及指紋採集框,實現了在只有極小面積的指紋殘影情況下,提取復刻有效指紋。這次挑戰也是國際上第一次成功攻破超聲波屏下指紋識別技術。
說簡單好像也簡單。陳昱說,這個指紋破解APP項目的前期積累花了半年時間,全類型指紋破解項目的時間則是一個多月。而且,這次攻擊的硬體成本加在一起也就1000多元。
其實在去年的極客大賽上,騰訊安全玄武實驗室就首次公開了針對屏下指紋解鎖型設備的「殘跡重用」漏洞——當機主未擦掉螢幕上留下的指紋時,通過特殊方法,利用螢幕上的指紋殘跡欺騙指紋識別系統,成功解鎖手機。
在發現該漏洞後,騰訊安全玄武實驗室第一時間與華為等主流手機硬體廠商及上游晶片廠商商議修復方案,這個漏洞目前已被全面修復。眼下,玄武實驗室正在與多家指紋驗證設備提供商進行溝通,推動又一個新問題的技術解決。
指紋鎖真有那麼脆弱?
我們還能不能相信它
「用戶無須過分恐慌,所有攻擊都是有條件的。我們今天的這個攻擊,得拿到指紋,還得拿到攻擊者的手機,條件其實也挺苛刻的。」 陳昱說,只要在日常使用中養成及時擦去指紋的習慣,即可大幅提升指紋識別設備的安全性。
智慧型手機、智能門鎖、保險箱、考勤打卡……指紋解鎖正大範圍應用在各種身份識別場景,尤其智能門鎖,越來越多家庭開始使用。
記者求證了杭州幾家智能門鎖製造商。這幾天正好是雙11前夕,大家正忙著火熱的促銷活動,其中還有智能門鎖產品登上了天貓雙11爆款清單。
一家企業員工跟記者坦言,騰訊的這一技術達到一定的水平後,的確有可能複製指紋。
「但是,目前這個技術破解成本相對比較高。如果去破解,還不如強拆或用其他方式去達到開門的目的呢。」 這位員工還說,指紋的算法也在不斷升級,技術在不斷進步,消費者不要過度擔心指紋鎖的安全性。
「風險是相對的,關鍵是技術掌握在誰手上。況且,傳統門鎖就沒風險?」另一位企業負責人則反問道,他說自己對智能門鎖很有信心,下一步還要做人臉識別門鎖呢。
「周圍用的人很多,聽說現在新樓盤交房都用指紋鎖了。」黃女士覺得指紋鎖挺好,「指紋磨損就開不進,要想辦法進自己家裡,那總是有辦法的。」