“獨一無二”的生物識別技術(shù) 也隱藏著許多安全隱患

指紋識別、虹膜識別、靜脈識別……隨著高科技的發(fā)展，生物識別技術(shù)開始普遍被用作新的生物認證方式，并有代替數(shù)字密碼的趨勢。但是，“獨一無二”的生物識別技術(shù)，真的沒有安全隱患了嗎？事實并非如此。

人臉識別被破解早已不是新聞，而以安全著稱的Face ID近日也遭到了破解。2019年的美國黑帽大會上，就有研究人員就展示了這一“漏洞”。他們制作了一種特殊的眼鏡：鏡片上貼上黑色膠帶，中間畫著白色的點。當他們把眼鏡戴在睡著的受害者臉上時，便可以進入他的iPhone，還能通過移動支付應用程序給其他人匯款。這個漏洞來源于蘋果的：注視感知功能，這一功能原本是為了進行活體檢測。然而，在識別戴眼鏡的人時，并不會從眼框區(qū)域提取3D信息。為了封堵這個漏洞，研究人員建議生物識別模塊的制造商為面部識別裝置添加更多身份認證。

比人臉更容易破解的則是指紋識別，早在2017年，日本國家信息學研究所的研究人稱，他們僅用中端數(shù)碼愛相機，就能從個人照片中成功提取指紋，之后還可以使用 3D 打印機輕松創(chuàng)建指紋副本；2018年密歇根州立大學的 Roy等人生成的 DeepMasterPrints 在 1% 的錯誤匹配率下能夠偽造 77% 的主體指紋。

靜脈識別是根據(jù)靜脈血液中脫氧血色素吸收近紅外線或人體輻射遠紅外線的特性來提取特征。由于每個人的靜脈分布圖具備類似于指紋的唯一性且成年后持久不變的特點，所以它能夠唯一確定一個人的身份。不過，德國混沌通信大會上兩名黑客卻提出了破解之道：首先用單反相機拍攝了目標的手掌照片，然后通過修改照片去除紅外濾光之后，從中提取出了目標的靜脈布局，然后復制在一只蠟制的手掌上，就成功的通過了掃描儀。

而聲紋識別也同樣未能逃過被破解的“命運”。在GeekPwn2017國際安全極客大賽上，選手就根據(jù)游戲《王者榮耀》里英雄配音者所提供的聲音樣本，模擬了其聲紋特征，合成一段“攻擊”語音，對現(xiàn)場提供的四個具有聲紋識別功能的設(shè)備發(fā)起攻擊，欺騙并通過了“聲紋鎖”的驗證。

在指紋識別、面部識別、靜脈識別、聲紋識別相繼“淪陷”后，虹膜識別也遭到破解。與想象中不同，獲取虹膜的方式十分簡單，只要在一個人十米內(nèi)，用單反長焦鏡頭結(jié)合捕捉紅外功能聚焦光束拍攝，就能成功獲取虹膜信息。2018 年，百度安全實驗室（X-lab）研究員小灰灰就成功破解了虹膜識別，并給出了復制虹膜的方法。而且，即便有硬件在虹膜識別過程中加入了“活體檢測”，譬如眼球微動、瞳孔縮放，只需抖動打印虹膜，或平穩(wěn)拉進拉遠，也能輕易繞過，通過認證。

結(jié)語：其實梳理一番發(fā)現(xiàn)，還真沒一種生物識別可以保證萬無一失。不過，盡管單一一種識別方式可以輕易破解，但是把這些方法融合起來，卻大大提高了破解成本。當然，融合的方式也需要繼續(xù)探索，這并不是簡單的疊加。