就 算 你 用 指 纹 保 护 自 己 的 手 机 信 息 ， 它 也 不 是 那 么 安 全

“ 令 人 担 忧 的 是 ， 人 们 能 随 便 找 一 台 手 机 发 起 攻 击 ， 而 且 攻 击 的 门 槛 很 低 ” ＊ 本 文 只 能 在 《 好 奇 心 日 报 》 发 布 ， 即 使 我 们 允 许 了 也 不 许 转 载 ＊ 旧 金 山 电 — 指 纹 传 感 器 让 智 能 机 变 得 如 奇 迹 般 便 捷 。 指 尖 轻 轻 一 触 ， 无 需 密 码 就 能 解 锁 手 机 。 在 Apple Pay、Android Pay 等 服 务 的 帮 助 下 ， 只 要 按 一 下 指 纹 ， 无 论 你 是 想 买 一 袋 食 品 杂 货 、 一 台 新 笔 记 本 电 脑 ， 甚 至 100 万 美 元 的 老 式 阿 斯 顿 · 马 丁 都 可 以 。 在 银 行 应 用 里 按 一 下 手 指 ， 用 户 就 能 支 付 账 单 、 转 账 几 千 美 金 。 这 样 的 神 奇 技 术 确 实 很 便 利 ， 但 它 也 存 在 安 全 漏 洞 。 周 一 ， 纽 约 大 学 （New York University） 与 密 歇 根 州 立 大 学 （Michigan State University） 的 研 究 人 员 发 表 了 他 们 的 最 新 发 现 ， 指 出 智 能 机 很 容 易 就 会 被 拥 有 许 多 和 人 类 指 纹 相 同 特 征 的 电 子 假 指 纹 蒙 骗 。 计 算 机 模 拟 实 验 中 ， 大 学 研 究 人 员 开 发 出 了 一 系 列 仿 真 指 纹 MasterPrint。 这 些 仿 真 指 纹 和 与 手 机 可 以 识 别 的 真 实 指 纹 之 间 的 匹 配 率 达 到 了 65%。 纽 约 大 学 和 密 歇 根 州 立 大 学 研 究 人 员 用 于 和 所 谓 的 MasterPrint 进 行 比 较 的 样 本 指 纹 。 指 纹 上 圈 着 黑 色 实 心 线 条 的 就 是 和 MasterPrint 匹 配 成 功 过 的 指 纹 。 研 究 人 员 还 没 有 用 真 正 的 智 能 机 试 过 这 些 MasterPrint。 其 他 安 全 专 家 表 示 ， 现 实 中 这 一 匹 配 率 会 大 大 降 低 。 不 过 这 一 发 现 确 实 引 起 了 人 们 对 智 能 机 指 纹 安 全 问 题 的 担 忧 。 “ 我 们 几 乎 可 以 肯 定 ， 问 题 没 有 看 上 去 那 么 令 人 担 忧 ； 但 我 们 同 样 几 乎 可 以 肯 定 ， 这 问 题 很 糟 糕 ，” 安 迪 · 阿 德 勒 （Andy Adler） 说 ，“ 如 果 我 想 拿 走 你 的 手 机 ， 用 你 的 Apple Pay 买 东 西 ， 那 么 对 我 来 说 ，10 台 手 机 里 能 成 功 破 解 1 台 就 很 划 算 了 。” 阿 德 勒 是 加 拿 大 卡 尔 顿 大 学 （Carleton University） 的 系 统 与 计 算 机 工 程 教 授 ， 研 究 生 物 安 全 系 统 。 完 整 的 人 类 指 纹 很 难 伪 造 。 然 而 手 机 上 的 指 纹 扫 描 器 很 小 ， 只 能 读 取 一 部 分 指 纹 。 用 户 在 苹 果 手 机 或 安 卓 手 机 上 设 置 启 用 指 纹 安 全 功 能 时 ， 手 机 通 常 会 提 取 8 - 10 张 指 纹 的 影 像 ， 以 便 更 容 易 地 进 行 匹 配 。 许 多 用 户 会 录 下 不 止 一 根 手 指 的 指 纹 —— 比 如 说 ， 他 们 可 能 会 记 录 下 左 右 手 各 自 的 大 拇 指 和 食 指 的 指 纹 。 用 户 在 手 机 上 滑 动 手 指 时 ， 指 纹 只 要 和 手 机 里 存 储 的 一 张 影 像 相 匹 配 ， 就 能 解 锁 手 机 。 因 此 ， 这 套 系 统 很 容 易 出 现 匹 配 错 误 。 纳 西 尔 · 梅 蒙 （Nasir Memon） 说 ：“ 这 就 好 比 如 果 你 有 30 个 密 码 ， 那 么 攻 击 者 只 要 有 一 个 密 码 能 对 上 就 行 了 。” 梅 蒙 是 纽 约 大 学 坦 登 工 程 学 院 （Tandon School of Engineering） 的 计 算 机 科 学 与 工 程 教 授 ， 也 是 此 次 发 表 在 《IEEE 信 息 取 证 与 安 全 学 报 》（ IEEE Transactions on Information Forensics and Security ） 上 的 这 项 研 究 的 三 位 作 者 之 一 。 另 外 两 位 作 者 分 别 是 纽 约 大 学 坦 登 学 院 博 士 后 研 究 员 阿 迪 提 · 罗 伊 （Aditi Roy） 和 密 歇 根 州 立 大 学 计 算 机 科 学 与 工 程 教 授 阿 伦 · 罗 斯 （Arun Ross）。 梅 蒙 表 示 ， 他 们 的 发 现 表 明 ， 如 果 你 能 以 某 种 方 式 制 作 出 一 副 每 根 手 指 上 都 带 有 MasterPrint 的 手 套 ， 你 就 能 在 iPhone 允 许 的 指 纹 输 错 次 数 五 次 内 打 开 40% - 50% 的 iPhone。（ 超 过 五 次 后 ，iPhone 就 会 要 求 用 户 输 入 数 字 密 码 ， 也 就 是 所 谓 的 个 人 身 份 识 别 号 。） 纽 约 大 学 计 算 机 科 学 与 工 程 教 授 纳 西 尔 · 梅 蒙 表 示 ， 他 对 机 主 指 纹 的 研 究 发 现 ，iPhone 和 安 卓 手 机 的 安 全 防 线 很 容 易 被 击 溃 。 图 片 版 权 ：Roger Kisby / 纽 约 时 报 苹 果 称 ， 使 用 一 个 指 纹 的 iPhone 指 纹 识 别 系 统 错 误 匹 配 的 概 率 是 1/50000。 苹 果 发 言 人 莱 恩 · 詹 姆 斯 （Ryan James） 表 示 ， 苹 果 在 开 发 Touch ID 系 统 的 时 候 就 已 经 测 试 了 多 种 攻 击 方 式 ， 还 加 入 了 其 他 安 全 功 能 ， 防 止 错 误 匹 配 。 Google 拒 绝 对 此 置 评 。 指 纹 识 别 真 正 的 风 险 程 度 很 难 量 化 。 苹 果 和 Google 对 他 们 的 指 纹 识 别 技 术 的 许 多 细 节 都 持 保 密 态 度 ， 而 且 几 十 家 制 作 安 卓 手 机 的 公 司 都 可 以 调 整 Google 的 标 准 设 计 ， 从 而 降 低 了 安 卓 手 机 的 安 全 程 度 。 斯 蒂 芬 妮 · 舒 克 尔 斯 （Stephanie Schuckers） 是 克 拉 克 森 大 学 （Clarkson University） 的 一 名 教 授 ， 也 是 识 别 技 术 研 究 中 心 （Center for Identification Technology Research） 的 一 名 主 管 。 她 对 MasterPrint 这 一 发 现 所 代 表 的 含 义 相 当 小 心 谨 慎 。 她 说 ， 研 究 人 员 使 用 的 是 一 款 市 场 上 可 以 买 到 的 中 档 软 件 ， 它 是 为 了 匹 配 完 整 指 纹 设 计 的 ， 这 就 把 研 究 人 员 的 这 一 发 现 圈 在 了 一 个 不 那 么 广 泛 的 适 用 范 围 里 。 她 说 ：“ 要 是 真 想 知 道 这 对 手 机 会 产 生 什 么 影 响 ， 你 就 得 在 手 机 上 进 行 试 验 。” 她 提 到 ， 手 机 制 造 商 和 其 他 使 用 指 纹 识 别 安 全 系 统 的 人 都 在 研 究 反 电 子 欺 骗 技 术 ， 检 测 指 纹 是 否 来 自 真 正 的 手 指 ， 比 如 通 过 寻 找 汗 水 或 检 查 更 深 层 皮 肤 图 案 的 方 式 。 比 如 美 国 高 通 公 司 （Qualcomm） 一 款 新 的 指 纹 传 感 器 就 使 用 了 超 声 波 。 手 机 制 造 商 承 认 ， 指 纹 传 感 器 并 非 百 分 百 安 全 ， 但 他 们 也 表 示 ， 仅 仅 轻 触 手 指 就 能 解 锁 手 机 ， 这 种 方 式 非 常 便 利 ， 因 此 更 多 的 用 户 会 选 择 打 开 安 全 功 能 ， 而 不 是 继 续 抱 有 和 智 能 机 出 现 早 期 不 少 人 都 有 的 习 惯 ， 任 由 手 机 不 上 锁 。 罗 斯 承 认 ， 他 们 的 研 究 存 在 局 限 性 。 他 说 ：“ 目 前 大 部 分 智 能 机 卖 家 都 不 会 让 我 们 访 问 指 纹 图 像 数 据 。” 要 想 把 电 子 指 纹 变 成 打 开 智 能 机 的 钥 匙 ， 小 偷 或 间 谍 需 要 做 许 多 额 外 的 工 作 。 罗 斯 说 ：“ 为 了 发 起 这 项 攻 击 ， 你 还 得 制 作 假 手 指 。” 一 篇 有 关 机 主 指 纹 的 新 论 文 的 第 一 作 者 阿 迪 提 · 罗 伊 。 指 纹 可 以 解 锁 智 能 手 机 ， 查 看 她 存 在 纽 约 大 学 坦 登 工 程 学 院 电 脑 上 的 数 据 信 息 。 图 片 版 权 ：Roger Kisby / 纽 约 时 报 不 过 ， 联 邦 政 府 奥 丁 计 划 （Odin） 经 理 克 里 斯 · 博 埃 内 恩 （Chris Boehnen） 表 示 ， 这 支 研 究 团 队 “ 部 分 指 纹 受 到 电 子 欺 骗 的 可 能 性 比 较 高 ” 的 根 本 性 发 现 非 常 重 大 。 奥 丁 计 划 是 情 报 高 级 研 究 计 划 署 （Intelligence Advanced Re