指紋、面部、語(yǔ)音識(shí)別技術(shù)，破解真的很簡(jiǎn)單！

【AI世代編者按】面部識(shí)別被今年央視315晚會(huì)狠狠地打臉，這一技術(shù)并沒(méi)有成熟到能令人們放心使用的地步，但已經(jīng)被普遍采用到各種智能終端上，智能手機(jī)便是其中之一。

最新型的智能手機(jī)都在吹噓生物識(shí)別的安全性能，無(wú)論是語(yǔ)音識(shí)別、指紋掃描還是面部識(shí)別，這些技術(shù)都承諾讓用戶(hù)的安全得到保障。但事實(shí)上，指紋、面部和語(yǔ)音從來(lái)就沒(méi)有安全過(guò)。

無(wú)論是手機(jī)中的照片、電子郵件、短信、Facebook、WhatsApp，以及更重要的控制用戶(hù)財(cái)務(wù)狀況的各個(gè)銀行應(yīng)用，所有的一切都受到生物識(shí)別技術(shù)的保護(hù)。

但事實(shí)上，生物識(shí)別技術(shù)不僅無(wú)法令用戶(hù)更加安全，而且使用這些技術(shù)要比用戶(hù)使用老式密碼更容易受到攻擊。

在日前巴塞羅那舉行的世界通訊大會(huì)中，老牌代碼安全審計(jì)機(jī)構(gòu)NCC Group就向外界展示了它如何輕易破解最新款A(yù)ndroid手機(jī)的這些安全功能，AI世代（微信號(hào)：tencentAI）編譯整理了相關(guān)內(nèi)容。

通過(guò)手指、面部或語(yǔ)音

從2013年蘋(píng)果在iPhone 5S中推出Touch ID開(kāi)始，指紋成為了生物識(shí)別安全系統(tǒng)的頭號(hào)形式。蘋(píng)果營(yíng)銷(xiāo)副總裁菲爾·席勒（Phil Schiller）當(dāng)時(shí)曾表示，“我們?cè)谶@些設(shè)備上投入如此多的個(gè)人時(shí)間……無(wú)論身處何方，它們都陪伴著我們，我們必須保護(hù)它們?！?/p>

可悲的是指紋掃描儀很容易上當(dāng)。NCC Group研究總監(jiān)馬特·劉易斯（Matt Lewis）在展示中先掃描了筆者的指紋，然后把它印在聚乙烯醇環(huán)保膠（PVA glue）當(dāng)中。使用這個(gè)模具，就能夠騙過(guò)所有的指紋掃描儀。

目前，絕大多數(shù)的智能手機(jī)只要輸入用戶(hù)的指紋，都能進(jìn)入所有的應(yīng)用和數(shù)據(jù)。如果犯罪分子得到手機(jī)用戶(hù)的指紋，會(huì)出現(xiàn)什么樣的情況？

破碎的安全

頗具諷刺意味的是，犯罪分子獲得用戶(hù)指紋的最佳方式就是給智能手機(jī)的玻璃主屏拍一張照片，因?yàn)橛脩?hù)每天都會(huì)在屏幕上留下數(shù)十個(gè)清晰可見(jiàn)的指紋。

安全研究人員還從人手的高清晰圖片中提取到了指紋，其中就包括德國(guó)國(guó)防部長(zhǎng)的指紋。

劉易斯還展示了通過(guò)原始圖片3D打印某人的臉部面具，同樣也能欺騙面部識(shí)別系統(tǒng)?！拔覀冇玫闹皇且粋€(gè)相對(duì)簡(jiǎn)單的技術(shù)。首先從Facebook個(gè)人主頁(yè)上截取一張2D照片，把它發(fā)送給一家3D打印面具公司，花費(fèi)200美元把它制作出來(lái)，”他說(shuō)。

語(yǔ)音識(shí)別是生物識(shí)別按群系統(tǒng)中最不安全的方式，通過(guò)錄制人們的聲音并輕易的拼湊在一起，然后反復(fù)播放用戶(hù)在智能手機(jī)上設(shè)置的“通行短語(yǔ)”即可。劉易斯的展示顯示，即便是在喧囂的世界移動(dòng)大會(huì)活動(dòng)中，錄制的他的聲音也能夠騙過(guò)一款最新的Android智能手機(jī)。

當(dāng)然，劉易斯的展示沒(méi)有一次完美的獲得成功，都需要嘗試多次。但是無(wú)論是語(yǔ)音識(shí)別、指紋掃描和面部識(shí)別，最終都被他破解，讓智能手機(jī)能夠?qū)λ腥碎_(kāi)放。

生物識(shí)別安全性能還有一個(gè)巨大的危險(xiǎn)。即便是我們?cè)絹?lái)越依賴(lài)它，實(shí)際上它卻變得越來(lái)越不安全。

生物識(shí)別的威脅

目前Facebook用戶(hù)每60秒向Facebook上傳超過(guò)20萬(wàn)張照片，以及數(shù)百萬(wàn)小時(shí)的視頻。

正因?yàn)槿绱?，?shù)以百萬(wàn)計(jì)的用戶(hù)的指紋、面部和語(yǔ)音文檔可能已被泄露，以至于它們能夠被輕易的找到和復(fù)制。對(duì)于明星和政客而言，這種問(wèn)題更為糟糕，因?yàn)槊襟w從來(lái)就沒(méi)有放過(guò)他們。

把這些生物識(shí)別數(shù)據(jù)放在社交媒體和媒體中對(duì)我們意味著什么？“在生物識(shí)別變得越來(lái)越普遍的世界里，你肯定讓自己處于危險(xiǎn)之中，”劉易斯說(shuō)。

對(duì)于絕大多數(shù)普通人而言，他們并不是攻擊目標(biāo)，但是對(duì)于政客、商界領(lǐng)袖和明星來(lái)說(shuō)，情況會(huì)有所不同。這也是為什么NCC Group推薦自己的客戶(hù)避免完全使用生物識(shí)別技術(shù)“進(jìn)行保護(hù)”。

相反，專(zhuān)家建議盡可能把多種生物識(shí)別技術(shù)和一個(gè)強(qiáng)密碼配合起來(lái)使用。

“很遺憾的是，雖然這種技術(shù)會(huì)讓攻擊者難以維持生計(jì)，但目前巨大多數(shù)智能手機(jī)并不提供這種技術(shù)，”劉易斯說(shuō)。目前遠(yuǎn)沒(méi)有實(shí)現(xiàn)蘋(píng)果高管席勒所承諾的智能手機(jī)安全，而且生物識(shí)別技術(shù)并不是實(shí)現(xiàn)真正意義的數(shù)字安全的答案。（編譯/明軒）