苹果iPhone5s的Touch ID让指纹识别成为一股旋风,横扫了整个手机市场,时至今日,主流产品几乎都配备了指纹识别功能,通过自己指纹解锁手机、加密资料甚至是支付费用已经成为常态。
可能正是因为指纹的独一无二,在大多人的概念里,指纹加密要比密码更为安全,但事实真是如此嘛?如果你转变一下思路或许就会发现,指纹识别可能一点都不安全。
就像世界上不存在完全相同的两片树叶那样,指纹的确具备独一性,因为每个人手指上特殊的中断、分叉或转折而形成的特征点各不相同,以这些独一无二的特征点所制成的指纹锁就代表了你自己。而装备在手机中的每一个指纹模组就是要将你的指纹信息加以记录、识别以及储存。
不可否认,为了维护指纹识别的安全,智能手机厂商几乎已经挖空心思,当前每一部装配有指纹识别的手机都采用了SoC硬件级加密,其中的传输协议甚至都是专有,并且验证步骤也只在本地进行,多重验证机制确保了黑客们无法从芯片中盗取指纹信息。换言之,如果把指纹与手机的关系比喻为普通门锁,现如今手机厂商已经将锁芯打造成了铜墙铁壁。
但若是“钥匙”被复制了呢?
相信不少读者都在近期看到了这样一条新闻:一个名叫Ashlynd Howell的六岁小朋友趁着妈妈打盹的间隙,用妈妈的拇指解锁iPhone,偷偷打开亚马逊(同样通过了指纹验证)大肆消费了250美元。而这就是指纹的不安全所在。
虽然指纹具备唯一性,与特定用户的身份一一对应,通过指纹信息手机可以验证解锁的是否就是特定用户,但在我们的工作生活中,留下指纹比喝下一口水更容易,只要与物品相接处,皮肤分泌的油脂就会在环境中留下指纹。这意味别有居心的人能够轻松窃取你的指纹,并伪造出那把打开手机的“钥匙”。
可别以为伪造指纹是什么技术活,实际上要伪造一份指纹的成本并不太高,一瓶氰基丙烯酸盐粘合剂,碳粉、胶带、明胶/硅胶,不到10块钱就能快速模拟出一层足够骗过大部分指纹识别器的指纹膜,而早在2013年的Syscan,黑客Marc Rogers就曾经用这样的方法成功攻破了iPhone5s,一年后又同样对待了iPhone6。