智能手機、智能門鎖、保險箱、考勤打卡…人類指紋150億分之一的重複率，使得指紋解鎖正在大範圍應用在各種身份識别場景，但這就絕對安全嗎？

在10月24日上海召開的GeekPwn 2019國際安全極客大賽上，騰訊安全玄武實驗室繼“殘迹重用漏洞”後，再次披露了指紋識别領域的最新研究——自動化破解多種類型指紋識别。該研究通過提取用戶在日常生活中留存的指紋，自動化進行克隆複原，進而通過各種指紋設備的驗證。

為了更好地傳遞指紋設備的安全研究，騰訊安全玄武實驗室研究員陳昱在GeekPwn 2019現場，邀請觀衆共同完成該研究項目展示。在觀衆接觸過一個玻璃水杯後，陳昱先是拿出手機拍攝觀衆留存在水杯上的指紋，随後在手機上調試之後“克隆”了一個全新的指紋，利用這個“新指紋”通過了該觀衆提前錄好指紋的3台手機和2台考勤機的指紋識别，一共破解了使用電容、光學和超聲波三種技術類型的指紋驗證設備。

陳昱向大家解釋了演示項目背後的技術原理，其實并不是什麼魔法，而是采用屏幕圖像采集技術以及指紋雕刻技術，首先通過使用特殊拍照方法提取手機、門鎖、考勤機等物品上的指紋，經過指紋破解APP解析形成有效指紋信息，再借助雕刻機克隆指模，最後便可使用克隆指模通過各種驗證。值得一提的是，這次挑戰也是國際上第一次成功攻破超聲波屏下指紋識别技術。

看上去，演示項目實現了指紋的“複制”與“粘貼”，但這背後是玄武實驗室獨家自研的指紋破解APP及指紋采集框，不僅能夠實現在隻有極小面積的指紋殘影情況下提取複刻有效指紋，還是首次将雕刻技術應用在系統破解。

不過，陳昱也表示，用戶無需過分恐慌。雖然該技術可對多種類型指紋識别進行自動化破解，但用戶隻需在日常使用中養成及時擦去指紋的習慣，即可大幅提升指紋設備安全。

但對于指紋設備而言，這次研究卻折射出其存在的安全隐患。事實上，騰訊安全玄武實驗室帶來本次自動化指紋設備破解研究之前，就率先多次披露了關于生物活體檢測的安全研究。騰訊安全玄武實驗室關于面部識别研究的議題入選了在今年世界頂級黑客Black Hat，在議題中介紹了通過軟件無感知的方法注入生物特征從而繞過基于攻擊介質的活體檢測，依托Face ID注視檢測在特定場景下的設計缺陷，可以在用戶閉眼的狀态下解鎖手機。

在去年的GeekPwn上，騰訊安全玄武實驗室重磅披露了在安卓手機中普遍應用存在的屏下指紋技術安全問題——“殘迹重用”漏洞，該漏洞會幾乎無差别地影響所有使用屏下指紋技術的設備。利用該漏洞，攻擊者隻需一秒鐘就可解鎖手機。

毫無疑問，指紋解鎖、面部解鎖的安全問題不并不是孤例，而是産業互聯網時代所有上下遊産業鍊都需要共同面對并攜手解決的安全隐患。騰訊安全玄武實驗室在不斷探索前沿技術的同時，還緻力于打通産業鍊上下遊的聯動，建立良好的協同修複機制，幫助廠商及時修複安全漏洞，共同推進行業安全問題的解決。

騰訊安全玄武實驗室研究員陳昱也在現場重申了騰訊安全對于安全研究的初衷，未來，騰訊安全還将持續深耕漏洞研究，輸出自身的安全能力，與第三方廠商共同築造安全防線，為安全新思維的升級和新趨勢的探索貢獻力量。

【記者】葉丹

【作者】 葉丹

【來源】 南方報業傳媒集團南方 客戶端

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!