(更新)三星 Galaxy S8 虹膜遭破解:僅使用照片與隱形眼鏡

作者 | 發布日期 2017 年 05 月 24 日 13:14 | 分類 Samsung , 手機 , 資訊安全 follow us in feedly

三星新旗艦 Galaxy S8 的虹膜辨識日前遭到破解──同時還只使用一枚隱形眼鏡、數位相機,以及雷射印表機。



破解 S8 虹膜設計的是德國一個駭客組織「Chaos Computer Clubs」(CCC),實際上他們在 2013 年也曾經解鎖 iPhone 5s 的 Touch ID,那是當代主流智慧型手機,第一支使用指紋辨識的產品。此次的 Galaxy S8 則是第一款使用虹膜辨識的智慧型手機──如果不算因為電池問題下市的 Galaxy Note 7。

使用「假眼睛」

與當初破解 Touch ID 的方法類似,CCC 的手法可能讓人有些無言。此次他們破解 S8 虹膜辨識的方式,是先弄出一張有 S8 用戶眼睛的照片,可能就是一張會放在網路上的高解析度照片,然後再用普通雷射印表機印出來,最後為了要模仿眼球的質感,會在照片上放一枚隱形眼鏡,接著就可以騙過 S8 的虹膜感測。

換句話說,並不是想像中駭客會做的攻破手機軟硬體、再解鎖裝置,而是弄出一顆「假眼睛」,與當初破解 Touch ID 使用橡膠製的假手指、再貼印去除「雜質」的指紋照片很類似。CCC 也強調,由於「眼睛」比起指紋更容易曝露在外,因此理論上會比指紋辨識不安全些。實際上,在手機提供的種種解鎖工具裡,他們還是相信傳統的密碼比較安全。

CCC 也談到一些細節,比如透過一般數位相機開啟夜拍模式,或是把紅外線濾鏡拿掉,就可以拍到足供辨識的虹膜照片。示範中使用的數位相機搭配 200mm 鏡頭,但必須在 5 公尺以內距離拍攝才會成功。

便利性與安全性的平衡

儘管如此,一般用戶應該可以不必想太多,畢竟想突破生物辨識解鎖手機,除了必須先拿到用戶本人的手機,一般小偷大概也不會想花時間製作假手指或假眼球。包括蘋果與三星,也都有提供遠端鎖定功能,避免手機失竊後被破解。

此外,指紋辨識等生物感測並不是追求絕對的安全性,而是想在安全性、便利性之間找到平衡,同時加速行動支付的驗證。CCC 認為較安全的密碼,實際上曾有調查指出,有高達 50% 用戶因為嫌麻煩棄用。相比之下,不需要在螢幕來回輸入數字或畫圖的生物感測除了更便利,「指紋與虹膜只有自己擁有」的感受,也強化了使用行動支付的說服力。

值得一提的是,CCC 在破解虹膜的過程中,還諷刺他們費用最貴的器材,就是 Galaxy S8。

(更新:台灣三星表示,該破解方案的情況特殊,必須同時擁有虹膜照片與用戶的 Galaxy S8。而三星內部也嘗試透過相同方式破解,但難度極高,消費者仍可信賴虹膜辨識的安全性。)

(首圖來源:三星)