貼上指紋貼，重新注冊指紋。沒，想到指紋識別人人可解，2017年12月，本報曾刊發(fā)題為《主流國產(chǎn)手機(jī)出現(xiàn)罕見漏洞 或波及上億部手機(jī)》的報道，揭露安卓手機(jī)普遍存在的指紋漏洞。經(jīng)《IT時報》記者實(shí)測，不僅安卓手機(jī)，蘋果手機(jī)的指紋解鎖機(jī)制也存在類似的Bug。

《IT時報》記者發(fā)現(xiàn)，目前最主流的蘋果手機(jī)iPhone 6s、iPhone 7、iPhone 8均能夠通過“指紋貼”，即利用其他介質(zhì)成像的方式攻破指紋識別功能。專家認(rèn)為，相比較安卓手機(jī)，iPhone的指紋識別漏洞安全風(fēng)險很小，可能導(dǎo)致的安全危害場景也很單一，全球消費(fèi)者都不必過于擔(dān)心。

記者實(shí)測

人人可解的iPhone 8

剪下一段膠帶，在膠帶上畫上兩筆，粘在iPhone 8的Home鍵處，即可做到人人可解鎖。與安卓手機(jī)的指紋識別漏洞相比，iPhone的破解多了一道程序，在膜粘附在Home鍵后，需要重新注冊指紋，才能達(dá)到人人可解鎖的效果。

需要強(qiáng)調(diào)的是，iPhone 8注冊指紋后，不需要其他操作，直接人人可解。整個過程無須高難度黑客技術(shù)，只花短短兩三分鐘時間就能實(shí)現(xiàn)?！禝T時報》記者還對iPhone 7、iPhone 6s等多款機(jī)型進(jìn)行測試。經(jīng)過相同的操作后，iPhone 7、iPhone 6s均實(shí)現(xiàn)人人可解鎖的效果。

2017年9月，蘋果發(fā)布了iPhone 8/8 Plus和iPhone X，在全球市場掀起了一股購買狂潮。根據(jù)IDC最新發(fā)布的手機(jī)季度跟蹤報告顯示，第三季度中國智能手機(jī)市場出貨量排名依次是華為、OPPO、vivo、小米和蘋果。其中，蘋果在中國銷售880萬部手機(jī)，市場份額為7.7%。

原理

與安卓機(jī)指紋漏洞類似

與安卓手機(jī)指紋識別普遍采用的算法類似，蘋果Touch ID的Hog算法也來自圖像識別技術(shù)。邁瑞微董事長李揚(yáng)淵將上述攻擊方式稱為“圖像注入攻擊”，“這個漏洞即通過注冊或?qū)W習(xí)，將貼膜自帶的圖案注入手機(jī)的指紋儲存區(qū)，從而使同樣的貼膜圖案可以解鎖。”

指紋識別算法不是單一算法，而是一套流程框架下的各個環(huán)節(jié)算法組合實(shí)現(xiàn)的綜合模型?？傮w來說，分為圖像增強(qiáng)、幾何配準(zhǔn)和打分裁決三個環(huán)節(jié)。貼膜破解針對的是判決環(huán)節(jié)的漏洞。這一漏洞源自于圖像識別算法“只識不別”的問題，當(dāng)識別指紋與手機(jī)里已注冊指紋只是部分一致時，手機(jī)仍然給予解鎖成功的判決，因?yàn)樗呐袆e機(jī)制是只識別相同的部分，差異的部分不進(jìn)行區(qū)別導(dǎo)致。而實(shí)驗(yàn)中在膠帶上的圖像，就是為了形成固定的圖像，使得日后每一個指紋都帶有此圖像實(shí)現(xiàn)解鎖。

雖然形成漏洞的原理一致，但是蘋果與安卓因硬件差異和軟件技術(shù)水平的差別，漏洞的程度還是有量化區(qū)別的。“蘋果收購的Authentec作為第三代RF指紋傳感器的發(fā)明者，用高端工藝和材料來制造Touch ID，傳感器硬件遠(yuǎn)比Android手機(jī)的RF傳感器精確，從而在“識”的判斷中精度更高，破解難度更大。”李揚(yáng)淵說道。

為什么蘋果手機(jī)必須重新注冊指紋才可以實(shí)現(xiàn)人人可解鎖的效果呢?李揚(yáng)淵表示，蘋果的算法軟件設(shè)計還是以安全為本的，它的自學(xué)習(xí)更新功能較為謹(jǐn)慎，使得通過學(xué)習(xí)進(jìn)行圖像注入的攻擊更加困難，也就比大多數(shù)安卓手機(jī)更難破解一些，“目前技術(shù)實(shí)驗(yàn)認(rèn)為，只有以指紋注冊作為入口進(jìn)行圖像注入攻擊，才能攻破iPhone的指紋識別。”

危害

iPhone安全風(fēng)險較小

你購買過指紋貼嗎?在淘寶上，以指紋貼為關(guān)鍵詞進(jìn)行搜索，銷量排名第一的指紋貼單品月銷量達(dá)到2.7萬片?，F(xiàn)實(shí)生活中，一部分群體因手汗大或者指紋情況不理想導(dǎo)致手機(jī)解鎖成功率很低，為了解決這一體驗(yàn)不佳的問題，很多人選擇用指紋貼來加強(qiáng)手機(jī)的指紋解鎖功能。

一個可發(fā)生的場景是，圖案可以通過“指紋貼”的形式悄無聲息地粘附在指紋貼與Home鍵粘合處。記者將膠帶換成指紋貼進(jìn)行試驗(yàn)，iPhone再次被破解。更關(guān)鍵的是，貼上指紋貼后，重新錄入指紋是合理性操作，在指紋貼的注意事項(xiàng)里，特意強(qiáng)調(diào)了“指紋識別不靈敏時，請刪除原有的指紋重新錄入”。正是這一步驟，為破解提供了可乘之機(jī)。

不過與此前本報報道中安卓手機(jī)的指紋漏洞風(fēng)險相比，蘋果危險程度較低。李揚(yáng)淵表示：“大部分安卓手機(jī)，包括高端機(jī)，都可以用局部隨機(jī)平面圖案實(shí)現(xiàn)學(xué)習(xí)注入，這導(dǎo)致攻擊場景豐富化。對蘋果手機(jī)已實(shí)現(xiàn)的攻擊，需要使用立體圖案，且只能實(shí)現(xiàn)注冊注入。”

追根溯源全圖像算法風(fēng)靡手機(jī)圈的原因，李揚(yáng)淵認(rèn)為，或許與安卓手機(jī)廠商陣營追隨蘋果的腳步有關(guān)。“蘋果發(fā)布首次搭載Touch ID的iPhone 5s后，一騎絕塵，安卓手機(jī)廠商重用蘋果供應(yīng)鏈，或者從蘋果供應(yīng)商的跟隨者那里采購，很大程度上，安卓手機(jī)組裝廠對配件的測試標(biāo)準(zhǔn)都由供應(yīng)商提供，缺乏第三方驗(yàn)證。”

截至目前，因全圖像算法導(dǎo)致的漏洞已經(jīng)覆蓋了大部分的蘋果與安卓機(jī)型。

以上就是小編為大家?guī)淼亩嗫頸Phone指紋新漏洞的最新消息，小伙伴們有空可以來腳本之家網(wǎng)站，我們的網(wǎng)站上還有許多其它的資料等著小伙伴來挖掘哦！

最新評論