Total Pageviews

Friday 24 October 2014

指纹识别的安全危机

苹 果发布的iPad Air 2配备了其特有的指纹授权登录技术Touch ID。Touch ID技术最早在去年发布的iPhone 5s上首次亮相,如今在三个不同的iPhone型号上得到普遍使用。苹果表示,在iPad上引入这一技术不仅能够增加iPad登录的安全性,还能让 iPad融入该公司推行的Apple Pay支付生态体系中。但也有不少人也对指纹识别提出质疑:作为“钥匙”来使用的指纹实际上随处都可能留下,这些不经意泄漏的指纹是否会被其他人利用?

iPhone 5S指纹识别轻易破解!

去年iPhone 5s正式开卖不过三天,其主打的指纹识别功能Touch ID就惨遭破解——德国知名黑客Starbug自己制作了一套指纹,成功骗过了Touch ID系统。他甚至还制作了一个视频详细介绍破解iPhone 5S指纹识别的方法,它揭示了一个残酷的现实——遗留在任何地方的指纹,都可能被用来绕过Touch ID。Starbug表示破解Touch ID“毫无挑战”,他甚至感到“非常失望”:“我只花了30个小时就成功破解了Touch ID。我大概花了半个小时来做准备工作,而花费了更多的时间去寻找传感器的技术规格信息。我非常失望,因为原本以为需要花费1到2个星期才能破解它。这次破解毫无挑战。”

Starbug表示自己并不是为了批评苹果,“你唯一可以批评他们的是,把Touch ID标榜成安全可靠的,即便他们知道这套系统有被攻破的可能。”在Starbug看来,“利用生物识别技术来进行身份验证是存在问题的。”

安全技术专家Bruce Schneier也表示,假如有人能够通过一款足够好的打印机制造你的一份指纹拷贝,并且这份拷贝足够好,那么他将能够成功得到你的iPhone的认证。

iPhone 6指纹识别存漏洞:假指纹可解锁手机

来自德国柏林的安全研究实验室(Security Research Labs)近日发现,苹果公司最新手机iPhone 6/6 Plus上的指纹识别功能功能相比上一代并没升级,依然可以用指纹膜骗过,造成安全隐患。在新一代iPhone发售之后,Security Research Labs采用一台iPhone 6进行试验。测试中可以看到,安全风险依旧存在, 指纹膜依然可以通过验证。这意味着苹果可能并没有升级Touch ID的传感器,在新一代iPhone上,苹果加入了Apple Pay移动支付功能,开放端口后,一些第三方iOS应用也可以通过它打开,这个漏洞的危害性或许比之前更严重。

众 所周知每个指纹都是唯一的,因此,即使两个单独指纹的一小部分极为相似,也不可能注册为 Touch ID 的同一指纹。对于一个已注册的指纹,发生这种情况的可能性为五万分之一。这比典型 4 位密码的一万分之一的猜中几率要好得多。虽然某些密码(如“1234”)可能很容易就被猜出,而指纹方式则根本不存在这种能轻易猜出的可能性。另一方面, 五万分之一的可能性表示需要尝试多达五万次不同的指纹,直到可能无意中找到完全一样的指纹。而 Touch ID 只允许尝试五次指纹,如果都不成功,您必须输入密码,否则不能继续操作。

安全技术专家Bruce Schneier解释说,指纹识别系统出现故障的情况大致可分为两种:一种是错误地让未经认证的人取得访问许可,另一种则是将经过认证的人拒之门外。后者 的情况往往比前者更为糟糕——你将无法打开你自己的手机。在苹果的设计中,很可能将为了照顾后一种情况而适当地允许第一种情况的发生。另外,在寒冷的天气 下或是刚洗完澡时,指纹的识别或许将出现一定的困难,届时苹果或许将提供传统的解锁方案以防万一。

指纹数据库

指纹识别的另一个问题在于存储指纹数据的数据库。假如采用中心数据库的形式,这个大型数据库一旦遭到攻击,将会导致大量数据的泄漏。Bruce Schneier因此推断,苹果肯定会采用本地认证的形式——用户将自己对手机授权,而不是通过网络进行该操作。 

据 苹果官方介绍,Touch ID 不会储存指纹的任何图像。它只存储指纹的数学表达式。不可能从该数学表达式反推导出实际的指纹图像。iPhone 5s 还包括 A7 芯片内称为“Secure Enclave”的全新高级安全架构,专门开发用于保护密码和指纹数据。指纹数据通过 Secure Enclave 的专用密钥得到加密和保护。指纹数据仅由 Secure Enclave 使用,以验证指纹是否与所注册的指纹数据匹配。Secure Enclave 独立于 A7 的其他部分以及 iOS 的其他部分。因此,指纹数据绝不会由 iOS 或其他 App 访问、绝不会存储到 Apple 服务器,也绝不会备份到 iCloud 或其他任何地方。只有 Touch ID 使用它,并且不能将它用于匹配其他指纹数据库。