拍照比「V」會洩漏指紋是真的嗎?

作者 | 發布日期 2022 年 04 月 13 日 8:30 | 分類 手機 , 生物科技 , 資訊安全 Telegram share ! follow us in feedly


拍照時許多人喜歡比 V,因這動作深植人們腦海,以至於不少人自拍或合照時,都會下意識比這個手勢。但拍照比 V,問題可能不簡單。

複製指紋不容易,但也非不可能

電影《蟻人》編劇用半分鐘快轉,展示如何用廚房工具取得指紋並破解指紋鎖。看到這段的人應該都心想:拜託都 21 世紀了,還用這種老技術騙人。

細想除了《蟻人》,不少動作、科幻電影都出現過類似橋段,導演希望彰顯主角身為神偷或特工頭腦之聰明。然而這種劇情今日似乎過時,膠水做出來的「假指紋」真能破解指紋鎖嗎?

Discovery 頻道老牌節目《流言終結者》也做過相關題目。第四季第 18 集,節目組找來號稱最先進的指紋鎖,前期花很多工夫複製指紋,用碳粉和 502 快乾膠,最終掃描出一張清晰的指紋圖,再製作矽膠指模。

節目組拿著做好的矽膠指模,放在門鎖掃描器上按壓,只見綠燈亮起,門鎖打開。意外的是,即便是用普通印表機印出來的指紋圖,也能輕鬆將「最先進」指紋鎖打開。

這結果連節目組都沒有料到,照片「意外」打開門的時候,主持人下巴都快掉了,不過稍微分析就會發現,這結果合乎情理。

那集節目攝於 2006 年,那時手機還沒有指紋模組,因光學指紋辨識技術才是加密界的主流。簡單說光學採集,辨識指尖紋路,原理相當於幫手指拍照,然後與資料庫指紋資訊比對,沒有生物特徵加密,自然很容易破解。換句話說,只要指紋圖夠清晰,就能無痛破解光學指紋辨識,面對這類設備,人們拍照時比 V 字,確實有可能被有心人利用。

2014 年歐洲 Chaos 計算機俱樂部年度會議,駭客 Starbug 展示如何利用德國國防部長烏爾蘇拉·馮德萊恩的照片偽造指紋,證明當時指紋技術的風險。

Starbug 並非真名,他名叫 Jan Krissler,是知名白帽駭客,早在 2013 年就嘗試利用螢幕指紋污漬,再以膠水和噴塗式石墨烯材料翻模做出「假手指」,破解 iPhone 5s 的 Touch ID,那時 iPhone 5s 剛發售不到 24 小時。

2014 年活動示範使用的圖片,是馮德萊恩出席新聞發表會的照片,她剛好豎起右手大拇指,Jan Krissler 就用這張照片搭配 Verifinger 掃描器複製出完整指紋。Jan Krissler 並不想用技術作惡,只想喚起大眾對指紋安全的警惕。

無獨有偶,日本國立情報學研究所(NII)科學家 2017 年成功從一張 3 公尺外照片提出可用指紋,因手機鏡頭動輒幾千萬畫素,相片清晰度遠比當年高,顯然從照片收集清晰指紋並非難事。

有風險,但或許不用太擔心

指紋洩漏是一回事,財產安全會否受威脅又是另一回事。普通人平日最有可能接觸指紋辨識大多是手機、筆電和智慧門鎖,主流智慧手機有三種指紋辨識:光學螢幕下辨識、超音波螢幕下辨識和電容式指紋辨識。

三者各有優缺點,所謂「有捨才有得」。

光學螢幕下安全性最差,相當於傳統光學採集技術放在螢幕下,利用螢幕光照亮手指,感測器接收到指紋資訊,與手機記錄指紋比對特徵,判斷是否為本機使用者,理論上可用矽膠假指紋破解。

一加 7 Pro 就曾以這種方法破解,但優點是快,主流 Android 手機基本上都能 1 秒內辨識解鎖。

第二種超音波辨識技術採集 3D 指紋位點資訊,駭客很難利用 2D 指紋圖生成凹凸手指紋路,更不可能製作模擬指紋。三星 Galaxy S10 便是超音波螢幕下指紋辨識,相較同期光學螢幕下辨識,前者速度慢許多,甚至讓人感覺有點呆,但優點就是安全。

成功破解一加 7Pro 的 Max Tech 嘗試利用相同膠製指紋解鎖 Galaxy S10,未能成功。

▲ 矽膠指紋在超音波面前就失效了。

第三種電容式指紋,多了一道辨識生物電訊號的門檻,不法分子要做出可導電的模擬指紋難度較高,安全性高。

此外,部分設備具活體檢測功能,藉體溫、心跳等輔助資訊,判斷掃描的指紋是否出自真人,幫手機再加一道鎖。如果用螢幕下光學辨識手機,是有可能從照片指紋複製出假指紋。

然而手機廠商還為使用者加上最後一道防線:記錄的指紋只存於終端,不會上傳至網路,意味駭客不可能像發動肉雞攻擊發動大規模侵入。如果有人想破解你的手機,得同時取得指紋和手機才行。

不過說到底,拍照時比 V 確實有洩漏個資的可能,以後還是換個手勢拍照吧。

(本文由 愛范兒 授權轉載;首圖來源:pixabay

關鍵字: ,