騰訊安全玄武實(shí)驗(yàn)室指紋破解研究引關(guān)注 可自動(dòng)破解多類型指紋設(shè)備

智能手機(jī)、智能門鎖、保險(xiǎn)箱、考勤打卡…人類指紋150億分之一的重復(fù)率，使得指紋解鎖正在大范圍應(yīng)用在各種身份識別場景，但這就絕對安全嗎?

在10月24日上海召開的GeekPwn 2019國際安全極客大賽上，騰訊安全玄武實(shí)驗(yàn)室繼“殘跡重用漏洞”后，再次披露了指紋識別領(lǐng)域的最新研究——自動(dòng)化破解多種類型指紋識別。該研究通過提取用戶在日常生活中留存的指紋，自動(dòng)化進(jìn)行克隆復(fù)原，進(jìn)而通過各種指紋設(shè)備的驗(yàn)證。

為了更好地傳遞指紋設(shè)備的安全研究，騰訊安全玄武實(shí)驗(yàn)室研究員陳昱在GeekPwn 2019現(xiàn)場，邀請觀眾共同完成該研究項(xiàng)目展示。在觀眾接觸過一個(gè)玻璃水杯后，陳昱先是拿出手機(jī)拍攝觀眾留存在水杯上的指紋，隨后在手機(jī)上調(diào)試之后“克隆”了一個(gè)全新的指紋，利用這個(gè)“新指紋”通過了該觀眾提前錄好指紋的3臺手機(jī)和2臺考勤機(jī)的指紋識別，一共破解了使用電容、光學(xué)和超聲波三種技術(shù)類型的指紋驗(yàn)證設(shè)備。

(騰訊安全玄武實(shí)驗(yàn)室在比賽現(xiàn)場成功完成挑戰(zhàn))

陳昱向大家解釋了演示項(xiàng)目背后的技術(shù)原理，其實(shí)并不是什么魔法，而是采用屏幕圖像采集技術(shù)以及指紋雕刻技術(shù)，首先通過使用特殊拍照方法提取手機(jī)、門鎖、考勤機(jī)等物品上的指紋，經(jīng)過指紋破解APP解析形成有效指紋信息，再借助雕刻機(jī)克隆指模，最后便可使用克隆指模通過各種驗(yàn)證。值得一提的是，這次挑戰(zhàn)也是國際上第一次成功攻破超聲波屏下指紋識別技術(shù)。

看上去，演示項(xiàng)目實(shí)現(xiàn)了指紋的“復(fù)制”與“粘貼”，但這背后是玄武實(shí)驗(yàn)室獨(dú)家自研的指紋破解APP及指紋采集框，不僅能夠?qū)崿F(xiàn)在只有極小面積的指紋殘影情況下提取復(fù)刻有效指紋，還是首次將雕刻技術(shù)應(yīng)用在系統(tǒng)破解。

不過，用戶無需過分恐慌。雖然該技術(shù)可對多種類型指紋識別進(jìn)行自動(dòng)化破解，但用戶只需在日常使用中養(yǎng)成及時(shí)擦去指紋的習(xí)慣，即可大幅提升指紋設(shè)備安全。

但對于指紋設(shè)備而言，這次研究卻折射出其存在的安全隱患。事實(shí)上，騰訊安全玄武實(shí)驗(yàn)室?guī)肀敬巫詣?dòng)化指紋設(shè)備破解研究之前，就率先多次披露了關(guān)于生物活體檢測的安全研究。騰訊安全玄武實(shí)驗(yàn)室關(guān)于面部識別研究的議題入選了在今年世界頂級黑客Black Hat，在議題中介紹了通過軟件無感知的方法注入生物特征從而繞過基于攻擊介質(zhì)的活體檢測，依托Face ID注視檢測在特定場景下的設(shè)計(jì)缺陷，可以在用戶閉眼的狀態(tài)下解鎖手機(jī)。

在去年的GeekPwn上，騰訊安全玄武實(shí)驗(yàn)室重磅披露了在安卓手機(jī)中普遍應(yīng)用存在的屏下指紋技術(shù)安全問題——“殘跡重用”漏洞，該漏洞會幾乎無差別地影響所有使用屏下指紋技術(shù)的設(shè)備。利用該漏洞，攻擊者只需一秒鐘就可解鎖手機(jī)。

毫無疑問，指紋解鎖、面部解鎖的安全問題不并不是孤例，而是產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代所有上下游產(chǎn)業(yè)鏈都需要共同面對并攜手解決的安全隱患。騰訊安全玄武實(shí)驗(yàn)室在不斷探索前沿技術(shù)的同時(shí)，還致力于打通產(chǎn)業(yè)鏈上下游的聯(lián)動(dòng)，建立良好的協(xié)同修復(fù)機(jī)制，幫助廠商及時(shí)修復(fù)安全漏洞，共同推進(jìn)行業(yè)安全問題的解決。

騰訊安全玄武實(shí)驗(yàn)室研究員陳昱也在現(xiàn)場重申了騰訊安全對于安全研究的初衷，未來，騰訊安全還將持續(xù)深耕漏洞研究，輸出自身的安全能力，與第三方廠商共同筑造安全防線，為安全新思維的升級和新趨勢的探索貢獻(xiàn)力量。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。