蘋果iPhone5s的Touch ID讓指紋識別成為一股旋風,橫掃了整個手機市場,時至今日,主流產品幾乎都配備了指紋識別功能,通過自己指紋解鎖手機、加密資料甚至是支付費用已經成為常態。
可能正是因為指紋的獨一無二,在大多人的概念里,指紋加密要比密碼更為安全,但事實真是如此嘛?如果你轉變一下思路或許就會發現,指紋識別可能一點都不安全。
就像世界上不存在完全相同的兩片樹葉那樣,指紋的確具備獨一性,因為每個人手指上特殊的中斷、分叉或轉折而形成的特征點各不相同,以這些獨一無二的特征點所制成的指紋鎖就代表了你自己。而裝備在手機中的每一個指紋模組就是要將你的指紋信息加以記錄、識別以及儲存。
不可否認,為了維護指紋識別的安全,智能手機廠商幾乎已經挖空心思,當前每一部裝配有指紋識別的手機都采用了SoC硬件級加密,其中的傳輸協議甚至都是專有,并且驗證步驟也只在本地進行,多重驗證機制確保了黑客們無法從芯片中盜取指紋信息。換言之,如果把指紋與手機的關系比喻為普通門鎖,現如今手機廠商已經將鎖芯打造成了銅墻鐵壁。
但若是“鑰匙”被復制了呢?
相信不少讀者都在近期看到了這樣一條新聞:一個名叫Ashlynd Howell的六歲小朋友趁著媽媽打盹的間隙,用媽媽的拇指解鎖iPhone,偷偷打開亞馬遜(同樣通過了指紋驗證)大肆消費了250美元。而這就是指紋的不安全所在。
雖然指紋具備唯一性,與特定用戶的身份一一對應,通過指紋信息手機可以驗證解鎖的是否就是特定用戶,但在我們的工作生活中,留下指紋比喝下一口水更容易,只要與物品相接處,皮膚分泌的油脂就會在環境中留下指紋。這意味別有居心的人能夠輕松竊取你的指紋,并偽造出那把打開手機的“鑰匙”。
可別以為偽造指紋是什么技術活,實際上要偽造一份指紋的成本并不太高,一瓶氰基丙烯酸鹽粘合劑,碳粉、膠帶、明膠/硅膠,不到10塊錢就能快速模擬出一層足夠騙過大部分指紋識別器的指紋膜,而早在2013年的Syscan,黑客Marc Rogers就曾經用這樣的方法成功攻破了iPhone5s,一年后又同樣對待了iPhone6。
