人脸识别一度成为访问手机和设备的便捷方法,然而在当前大流行环境下,人人佩戴口罩的情形却令这种技术成为「累赘」,于是,指纹扫描仪又重新获得大众的青睐。然而,现在又有人会告诉你,它并不安全。
思科某团队的研究员使用价值2,000美元的Resin 3D打印机、软件和胶水,成功入侵了多个设备。
现在的研究重点不是告诉你的邻居,使用现成的3D打印机和一些指纹粉就可以轻松进入自己的设备。研究人员完全清楚,他们所做的是繁琐的工作,并且需要大约2,000美元的预算。但是,对于一些具备执法权的政府机构而言,这完全在合理的预算范围之内。
为了测试设备中指纹认证的安全性,该团队着手将预算压低至较低水平。然后,他们使用了三种方法来收集指纹。首先,他们使用橡皮泥制作模具;其次,他们以数字方式从指纹传感器复制指纹;第三,他们在用镁粉刷过的玻璃上拍摄了指纹的照片(类似于“指纹除尘”)。
第一种方法用作控件,因为它将创建最准确的指纹。然后,他们使用软件进行必要的组合,并增强来自传感器或图片的指纹数据,并将其导出到3D打印机文件中。这样一来,他们就可以3D打印树脂模具(需要专门的具有UV功能的打印机)来创建指纹。研究人员尝试直接进行3D打印指纹,但失败了。取而代之的是,将3D打印的模具与纺织胶结合使用就可以了。
有了假指纹,团队研究员发现它可以在80%的时间内解锁移动设备。他们测试了苹果、三星和华为的设备,发现无论使用哪种指纹传感器,每种设备均能成功。
但是,笔记本电脑则不同。Windows Hello并没有因为伪造的指纹而被闯入,但是它们确实欺骗了苹果MacBook Pro。同样,Verbatim和Lexar这类USB存储设备也没有被假指纹解锁。
尽管如此,智能手机的高成功率并不意味着容易,实际的误差幅度很小。例如,只有1%的指纹太大或太小都无法解锁设备。而且,由于固化过程,要获得有效的伪造指纹,通常需要进行50次以上的模具尝试。该团队总体上将这一过程描述为“艰难而乏味”。
但是研究表明,对于一个有时间、耐心和预算低至2,000美元的人而言,闯入指纹锁定手机是完全可行的。为了得到最大的安全性,则应该使用长PIN码。
转载请注明出处。