智能手机、智能门锁、保险箱、考勤打卡…人类指纹150亿分之一的重复率,使得指纹解锁正在大范围应用在各种身份识别场景,但这就绝对安全吗?
在10月24日上海召开的GeekPwn 2019国际安全极客大赛上,腾讯安全玄武实验室继“残迹重用漏洞”后,再次披露了指纹识别领域的最新研究——自动化破解多种类型指纹识别。该研究通过提取用户在日常生活中留存的指纹,自动化进行克隆复原,进而通过各种指纹设备的验证。
为了更好地传递指纹设备的安全研究,腾讯安全玄武实验室研究员陈昱在GeekPwn 2019现场,邀请观众共同完成该研究项目展示。在观众接触过一个玻璃水杯后,陈昱先是拿出手机拍摄观众留存在水杯上的指纹,随后在手机上调试之后“克隆”了一个全新的指纹,利用这个“新指纹”通过了该观众提前录好指纹的3台手机和2台考勤机的指纹识别,一共破解了使用电容、光学和超声波三种技术类型的指纹验证设备。
(腾讯安全玄武实验室在比赛现场成功完成挑战)
陈昱向大家解释了演示项目背后的技术原理,其实并不是什么魔法,而是采用屏幕图像采集技术以及指纹雕刻技术,首先通过使用特殊拍照方法提取手机、门锁、考勤机等物品上的指纹,经过指纹破解APP解析形成有效指纹信息,再借助雕刻机克隆指模,最后便可使用克隆指模通过各种验证。值得一提的是,这次挑战也是国际上第一次成功攻破超声波屏下指纹识别技术。
看上去,演示项目实现了指纹的“复制”与“粘贴”,但这背后是玄武实验室独家自研的指纹破解APP及指纹采集框,不仅能够实现在只有极小面积的指纹残影情况下提取复刻有效指纹,还是首次将雕刻技术应用在系统破解。
不过,用户无需过分恐慌。虽然该技术可对多种类型指纹识别进行自动化破解,但用户只需在日常使用中养成及时擦去指纹的习惯,即可大幅提升指纹设备安全。
但对于指纹设备而言,这次研究却折射出其存在的安全隐患。事实上,腾讯安全玄武实验室带来本次自动化指纹设备破解研究之前,就率先多次披露了关于生物活体检测的安全研究。腾讯安全玄武实验室关于面部识别研究的议题入选了在今年世界顶级黑客Black Hat,在议题中介绍了通过软件无感知的方法注入生物特征从而绕过基于攻击介质的活体检测,依托Face ID注视检测在特定场景下的设计缺陷,可以在用户闭眼的状态下解锁手机。
在去年的GeekPwn上,腾讯安全玄武实验室重磅披露了在安卓手机中普遍应用存在的屏下指纹技术安全问题——“残迹重用”漏洞,该漏洞会几乎无差别地影响所有使用屏下指纹技术的设备。利用该漏洞,攻击者只需一秒钟就可解锁手机。
毫无疑问,指纹解锁、面部解锁的安全问题不并不是孤例,而是产业互联网时代所有上下游产业链都需要共同面对并携手解决的安全隐患。腾讯安全玄武实验室在不断探索前沿技术的同时,还致力于打通产业链上下游的联动,建立良好的协同修复机制,帮助厂商及时修复安全漏洞,共同推进行业安全问题的解决。
腾讯安全玄武实验室研究员陈昱也在现场重申了腾讯安全对于安全研究的初衷,未来,腾讯安全还将持续深耕漏洞研究,输出自身的安全能力,与第三方厂商共同筑造安全防线,为安全新思维的升级和新趋势的探索贡献力量。
