指纹读取器,例如 iPhone 上的 TouchID,旨在让您的设备更加安全,同时简化解锁过程。纽约大学和密歇根州立大学的计算机科学家们正准备颠覆这种安全优势。就像一把可以打开任何锁的主钥匙一样,这些研究人员开发了数字“主指纹”,可以模拟各种部分指纹,足以理论上破解设备。
研究人员想知道,是否存在一种指纹等同于“1234”这样的四位数字安全码。通过对数字数据库的分析,他们发现,根据该研究,主指纹确实可以在 26% 到 65% 的时间内成功模仿随机指纹。为什么会有这么大的范围?这取决于指纹数据库的规模;指纹传感器系统中注册的部分指纹越多,主指纹解锁的可能性就越大。
这其中涉及几个安全问题。第一,智能手机上的指纹传感器通常很小;第二,用户可以注册多个手指。此外,手机通常允许您尝试几次用指纹解锁。
“传感器很小,它们无法捕捉完整的指纹,”纽约大学坦顿工程学院的计算机科学家、该研究的作者之一 Nasir Memon 表示。
而且,由于智能手机指纹传感器可以学习识别多个不同的手指,因此该系统会学习大量的部分指纹。当您将手指放在传感器上时,系统实际上并不知道是哪个手指,也不知道您是如何放置它的。
“所以,如果其中任何一个匹配,”他说,“它就会说‘好的,就是你。’”
Memon 和他的同事们分析了一个包含 800 个指纹的数字数据库,然后从该数据库中提取了数千个部分指纹。他们想知道:是否存在任何部分指纹与其他部分指纹以高概率匹配?“我们很惊讶,”他说,“有些匹配率高达 15%。”
值得注意的是,该实验是基于计算机的,因此研究人员并没有真正尝试使用主指纹来欺骗手机。这些发现是理论性的,一位杰出的生物识别技术研究员对此表示怀疑。
密歇根州立大学生物识别技术研究组负责人 Anil Jain(未参与该研究)表示,研究人员使用的是一个分析指纹的系统,该系统基于您指纹中称为“细节特征”的元素。
如果您看着自己的手指,会看到脊线和山谷。在某些地方,脊线会分开,即分叉。在其他地方,脊线可能只是结束。这些脊线的分叉和末端就是生物识别技术专家所说的“细节特征点”。
Jain 表示,苹果和三星使用的指纹传感器并不使用这些细节特征点来识别指纹。Jain 说,例如,iPhone 上的 TouchID 传感器使用的是您指纹的“纹理模式”。
尽管如此,该研究的合著者、密歇根州立大学计算机科学与工程学教授 Arun Ross 仍然坚持他们发现的相关性。他说,系统的漏洞依然存在:随着指纹传感器的尺寸越来越小,“我的指纹与您的指纹匹配的几率,不是整体匹配,而是部分匹配,会增加。”
