生物識別技術(shù)真的沒有安全隱患了嗎？

指紋識別、虹膜識別、靜脈識別……隨著高科技的發(fā)展，生物識別技術(shù)開始普遍被用作新的生物認(rèn)證方式，并有代替數(shù)字密碼的趨勢。但是，以“獨一無二”為噱頭的生物識別技術(shù)，真的沒有安全隱患了嗎？昨天，來自美國加州大學(xué)圣芭芭拉分校的尼克·斯蒂芬斯在“極棒”(GeekPwn)極客嘉年華上“秀”了一手，震驚了科技界。

斯蒂芬斯在臺上的演繹很簡單：他邀請兩位現(xiàn)場觀眾上臺，一位負(fù)責(zé)在嶄新的手機上輸入指紋；然后，指導(dǎo)另一位觀眾下載一個App，并輸入幾行攻擊代碼，整個流程大約10分鐘——后者驚奇地發(fā)現(xiàn)，自己已經(jīng)可以成功解開指紋鎖了。“不是所有的手機都可以破解指紋識別，這次是找到了某品牌手機的提權(quán)漏洞，我才能攻破?！彼沟俜宜乖诮邮苡浾卟稍L時表示，指紋識別也可以被遠(yuǎn)程攻破，只不過還需要更多破解工具。

這是極客第一次真正意義上從軟件層面破解指紋識別技術(shù)。此前，指紋識別的安全與否與技術(shù)本身并無關(guān)系，它的風(fēng)險僅僅在于用戶的指紋可能被竊取——比如，美國密歇根州立大學(xué)研究人員通過3D打印機、橡皮泥等工具建模，以此攻破指紋識別系統(tǒng)。

斯蒂芬斯這次采用的是篡改信任區(qū)里的指紋驗證模塊，在信任環(huán)境中進(jìn)行提權(quán)，來攻破指紋識別的防線。指紋識別搭配信任區(qū)技術(shù)作為最新的手機安全技術(shù)，一直被視為手機安全的最后一道防線，現(xiàn)在有極客突破了這道防線——如此一來，不僅用戶的敏感數(shù)據(jù)可能被竊取，支付等高權(quán)限場景也可能被侵入。

一位安全領(lǐng)域?qū)＜腋嬖V記者，“相對于數(shù)字密碼等現(xiàn)有方式，生物識別具有防偽性能好、私密性強、隨身‘?dāng)y帶’等優(yōu)點，肯定是一種更安全的技術(shù)?！钡牵F(xiàn)有的生物識別技術(shù)并沒有完全成熟：從物理層面上，它可能會因為個人數(shù)據(jù)被濫用而被惡意“復(fù)制”；從技術(shù)層面講，現(xiàn)有的技術(shù)還需要更多的安全驗證，才能被進(jìn)一步推廣。

斯蒂芬斯也表示，包括虹膜識別、人臉識別、指紋識別，這些生物識別技術(shù)的安全性能都差不多，只要系統(tǒng)存在漏洞，一樣可以被攻破。專家認(rèn)為，不用過于擔(dān)心生物識別技術(shù)的安全漏洞，因為這些極客攻破的系統(tǒng)漏洞，都會提交給硬件或軟件廠商，以優(yōu)化現(xiàn)有系統(tǒng)，為生物識別技術(shù)的進(jìn)一步發(fā)展和安全提供支持；事實上，用戶更需要做的，是有意識地保護(hù)自己的“身體密碼”。