首页 > > 25

多款iPhone出現指紋識別Bug 貼膜後人人可解鎖

2018-01-08
来源:IT时报

  IT時報記者 戚夜雲

  貼上指紋貼,重新注冊指紋。沒想到指紋識別人人可解。

  2017年12月,本報曾刊發題為《主流國產手機出現罕見漏洞 或波及上億部手機》的報道,揭露安卓手機普遍存在的指紋漏洞。經《IT時報》記者實測,不僅安卓手機,蘋果手機的指紋解鎖機制也存在類似的Bug。

  《IT時報》記者發現,目前最主流的蘋果手機iPhone 6s、iPhone 7、iPhone 8均能夠通過“指紋貼”,即利用其他介質成像的方式攻破指紋識別功能。專家認為,相比較安卓手機,iPhone的指紋識別漏洞安全風險很小,可能導致的安全危害場景也很單一,全球消費者都不必過於擔心。

  記者實測

  人人可解的iPhone 8

  剪下一段膠帶,在膠帶上畫上兩筆,粘在iPhone 8的Home鍵處,即可做到人人可解鎖。與安卓手機的指紋識別漏洞相比,iPhone的破解多了一道程序,在膜粘附在Home鍵後,需要重新注冊指紋,才能達到人人可解鎖的效果。

  需要強調的是,iPhone 8注冊指紋後,不需要其他操作,直接人人可解。整個過程無須高難度黑客技術,只花短短兩三分鍾時間就能實現。《IT時報》記者還對iPhone 7、iPhone 6s等多款機型進行測試。經過相同的操作後,iPhone 7、iPhone 6s均實現人人可解鎖的效果。

  2017年9月,蘋果發布了iPhone 8/8 Plus和iPhone X,在全球市場掀起了一股購買狂潮。根據IDC最新發布的手機季度跟蹤報告顯示,第三季度中國智能手機市場出貨量排名依次是華為、OPPO、vivo、小米和蘋果。其中,蘋果在中國銷售880萬部手機,市場份額為7.7%。

  原理

  與安卓機指紋漏洞類似

  與安卓手機指紋識別普遍采用的算法類似,蘋果Touch ID的Hog算法也來自圖像識別技術。邁瑞微董事長李揚淵將上述攻擊方式稱為“圖像注入攻擊”,“這個漏洞即通過注冊或學習,將貼膜自帶的圖案注入手機的指紋儲存區,從而使同樣的貼膜圖案可以解鎖。”

  指紋識別算法不是單一算法,而是一套流程框架下的各個環節算法組合實現的綜合模型。總體來說,分為圖像增強、幾何配准和打分裁決三個環節。貼膜破解針對的是判決環節的漏洞。這一漏洞源自於圖像識別算法“只識不別”的問題,當識別指紋與手機裏已注冊指紋只是部分一致時,手機仍然給予解鎖成功的判決,因為它的判別機制是只識別相同的部分,差異的部分不進行區別導致。而實驗中在膠帶上的圖像,就是為了形成固定的圖像,使得日後每一個指紋都帶有此圖像實現解鎖。

  雖然形成漏洞的原理一致,但是蘋果與安卓因硬件差異和軟件技術水平的差別,漏洞的程度還是有量化區別的。“蘋果收購的Authentec作為第三代RF指紋傳感器的發明者,用高端工藝和材料來制造Touch ID,傳感器硬件遠比Android手機的RF傳感器精確,從而在“識”的判斷中精度更高,破解難度更大。”李揚淵說道。

  為什么蘋果手機必須重新注冊指紋才可以實現人人可解鎖的效果呢?李揚淵表示,蘋果的算法軟件設計還是以安全為本的,它的自學習更新功能較為謹慎,使得通過學習進行圖像注入的攻擊更加困難,也就比大多數安卓手機更難破解一些,“目前技術實驗認為,只有以指紋注冊作為入口進行圖像注入攻擊,才能攻破iPhone的指紋識別。”

  危害

  iPhone安全風險較小

  你購買過指紋貼嗎?在淘寶上,以指紋貼為關鍵詞進行搜索,銷量排名第一的指紋貼單品月銷量達到2.7萬片。現實生活中,一部分群體因手汗大或者指紋情況不理想導致手機解鎖成功率很低,為了解決這一體驗不佳的問題,很多人選擇用指紋貼來加強手機的指紋解鎖功能。

  一個可發生的場景是,圖案可以通過“指紋貼”的形式悄無聲息地粘附在指紋貼與Home鍵粘合處。記者將膠帶換成指紋貼進行試驗,iPhone再次被破解。更關鍵的是,貼上指紋貼後,重新錄入指紋是合理性操作,在指紋貼的注意事項裏,特意強調了“指紋識別不靈敏時,請刪除原有的指紋重新錄入”。正是這一步驟,為破解提供了可乘之機。

  不過與此前本報報道中安卓手機的指紋漏洞風險相比,蘋果危險程度較低。李揚淵表示:“大部分安卓手機,包括高端機,都可以用局部隨機平面圖案實現學習注入,這導致攻擊場景豐富化。對蘋果手機已實現的攻擊,需要使用立體圖案,且只能實現注冊注入。”

  追根溯源全圖像算法風靡手機圈的原因,李揚淵認為,或許與安卓手機廠商陣營追隨蘋果的腳步有關。“蘋果發布首次搭載Touch ID的iPhone 5s後,一騎絕塵,安卓手機廠商重用蘋果供應鏈,或者從蘋果供應商的跟隨者那裏采購,很大程度上,安卓手機組裝廠對配件的測試標准都由供應商提供,缺乏第三方驗證。”

  截至目前,因全圖像算法導致的漏洞已經覆蓋了大部分的蘋果與安卓機型。

[责任编辑:朱剑明]
网友评论
相关新闻