在手机、电子锁、保险箱等产品中广泛运用指纹解锁,真的安全吗?

10月24日,在上海举行的GeekPwn 2019国际安全极客大赛上,在20分钟的挑战时间内,腾讯安全玄武实验室研究人员完成了指纹识别破解,通过提取用户在日常生活中留存的指纹,自动化进行克隆复原,进而通过各种指纹设备的验证。
在观众接触过一个玻璃水杯后,腾讯安全玄武实验室研究员陈昱拿出手机拍摄观众留存在水杯上的指纹,随后在手机上调试之后“克隆”了一个全新的指纹,利用这个“新指纹”通过了该观众提前录好指纹的3台手机和2台考勤机的指纹识别,一共破解了使用电容、光学和超声波三种技术类型的指纹验证设备。
陈昱解释项目背后的原理称,这是采用了屏幕图像采集技术以及指纹雕刻技术,首先通过使用特殊拍照方法提取手机、门锁、考勤机等物品上的指纹,经过指纹破解APP解析形成有效指纹信息,再借助雕刻机克隆指模,最后便可使用克隆指模通过各种验证。
据腾讯方面介绍,这次挑战也是国际上第一次成功攻破超声波屏下指纹识别技术。

成本仅1000多元
但攻击也是有条件的
在演示结束后接受媒体采访时,陈昱表示,“我这次攻击成本,硬件成本加在一起1000多(元),软件只是一部手机、一个(指纹破解)App。 ”指纹破解App项目的前期积累有半年,做全类型指纹破解项目的时间则是一个多月,指纹破解App能够在小面积的指纹残影情况下提取复刻有效指纹。
今年早些时候,有报道称,拍照比“剪刀手”可能会泄露指纹信息,如果镜头距离够近,“剪刀手”照片通过照片放大技术和人工智能增强技术,就能将照片中人物的指纹信息还原出来。 指纹信息通过照片被提取后通过专业材料制作成指纹膜,可被不法分子用于各种通过指纹技术来识别身份的渠道,比如指纹门锁、指纹支付等。
而陈昱不是拍摄手指,而是采集手指在玻璃杯等光滑平面上的指纹痕迹,“我们演示的是难度最高的玻璃杯采集。 屏幕上采集指纹难度比玻璃杯低好几倍。 ”
在采集到指纹后,下一步是借助雕刻机克隆指模需要的材料,“必须能导电,电阻率跟皮肤类似。 其次,要能破超声,要有3D的信息,材料要易打印易雕刻。 ”陈昱称,这些材料市面上可以直接购买。
在演示过程中,专家评委点评称,此次挑战的难点在于,“要一个指纹把所有的(指纹识别方法)全部都解锁。 ”此外,诞生时间更久的电容和光学指纹识别均有被攻破过,而更先进的超声波指纹识别是新挑战。
不过,陈昱表示,用户无需过分恐慌,虽然该技术可对多种类型指纹识别进行自动化破解,但用户只需在日常使用中养成及时擦去指纹的习惯,即可大幅提升指纹设备安全。 玄武实验室也已与多家指纹验证设备提供商进行沟通,推动该问题的解决。
陈昱指出,完成攻破的条件苛刻,“所有攻击都是有条件的。 我们今天演示的这个攻击,得拿到指纹,还得拿到攻击者的手机。 条件其实也挺苛刻的。 ”
现场专家评委也表示,“现在无论是认证还是支付,其实用的都是多维度的技术,包括生物特征、环境特、行为特征和你的历史记录。 不只是指纹特征来做这件事情。 ”

不止破解指纹解锁
极客还会“骗”过人脸识别
据腾讯方面介绍,腾讯安全玄武实验室带来本次自动化指纹设备破解研究之前,曾多次披露了关于生物活体检测的安全研究。 腾讯安全玄武实验室此前发布了关于面部识别研究的议题,介绍了通过软件无感知的方法注入生物特征从而绕过基于攻击介质的活体检测,依托Face ID注视检测在特定场景下的设计缺陷,可以在用户闭眼的状态下解锁手机。
在GeekPwn 2019国际安全极客大赛现场,来自长亭科技的参赛队伍利用无线投屏设备的漏洞和平板电视的漏洞,实现了对办公设备的远程控制。 参赛队伍利用未知安全漏洞,植入了恶意攻击程序,感染了其他连接投屏设备的电脑,然后远程控制被感染的电脑拍摄了用户的照片; 并且还利用平板电视的漏洞,获得了平板电视的root shell,截屏并获取了图片。 据悉,这两项漏洞可以被应用于针对企业的渗透测试中。
来自清华大学的TSAIL等多个战队,成功利用图片对抗样本针对图像分类器发起攻击,导致分类器出错,骗过AI图像识别。 TSAIL战队在“人脸识别攻击”中用图片成功欺骗图像分类器,让AI将黄健翔识别成了伊万卡。
来自腾讯移动安全实验室的高级研究员韩紫东、韩景维,现场成功破解三款主流品牌安卓手机。 选手利用最新系统手机中的漏洞进行攻击,实现在手机中自动安装、运行APP,获取手机的GPS位置信息等操作。 据介绍,赛后,主办方会将相关漏洞提交至手机厂商并协助修复,腾讯移动安全实验室韩景维介绍,通过对手机等智能硬件的漏洞研究及破解,能够进一步帮助手机厂商提升设备的安全性,以保证手机等智能设备不被恶意入侵。
这些“极客”所承担的角色,即白帽黑客。 “白帽黑客”与“黑帽黑客”相对,一般指的是无攻击恶意的黑客。 他们能识别出计算机或网络系统中的漏洞,将其公布给厂商修复,以免“黑帽黑客”从中盗取信息、牟利。
碁震KEEN公司创始人兼CEO、GeekPwn大赛发起创办人王琦表示,“对极客来讲,消灭更多的不安全问题,我们才有更安全的未来。 ”

AI感兴趣的小伙伴,快来加入网易智能社群吧!

和我们一起探讨AI的故事~

网易智能的AI社群有很多种呢~

包括:

AI芯片、医疗AI、金融AI、电商AI、自动驾驶、

教育AI、AIoT、机器人、物流AI、等12个社群哦

快快添加智能菌微信kaiwu_club

说明身份即可加入

我们等着你呦!

喝杯水都能泄露指纹?屏下指纹识别设备被攻破相关推荐

  1. iPhone为什么不推出屏下指纹?

    点击上方「CodeAllen」关注+星标,一起成长 回复"加群"加入高质量千人技术交流群 原文链接:iPhone为什么不推出屏下指纹? 我是很习惯iPhone的使用体验,之前很热衷 ...

  2. 当LCD也能屏下指纹时,你还会选择OLED吗?永不为奴的LCD

    当LCD也能屏下指纹时,你还会选择OLED吗?永不为奴的LCD 随着屏下指纹的普及,大部分的手机生产厂商都采用了OLED屏幕,三星公司作为手机屏幕生产的大型企业,也废弃了LCD屏幕的生产线,全面转向了 ...

  3. 什么叫侧面指纹识别_侧面指纹VS屏下指纹和后置指纹,原来我们都低估了侧面指纹...

    原标题:侧面指纹VS屏下指纹和后置指纹,原来我们都低估了侧面指纹 随着科技的发展,手机花式解锁方式也是让人眼花缭乱.最早的指纹解锁就是密码和手势解锁,后来为了增加屏幕屏占比,还采用了屏下指纹和前后置指 ...

  4. 打孔屏+屏下指纹!这届iPhone全是安卓玩剩下的

    现在你还觉得iPhone手机有创新吗? 近日,iPhone13系列新机又开始频繁曝光,各种渲染图满天飞,其中最受关注的则是两款全新的配色方案,一种类似于"黄铜色"的全新色系,另一种 ...

  5. 不止1亿像素相机 小米MIX 4有望首发第四代超声波屏下指纹

    9月24日,小米在北京举行了一场别开生面的发布,正式推出了包括小米9 Pro 5G和小米MIX Alpha在内的多款新品,虽然备受期待的小米MIX 4并未亮相此次发布会,但随后不少渠道都显示,该机很有 ...

  6. 高通最强芯片855发布!AI性能比华为苹果翻倍,商用5G,标配屏下指纹

    李根 发自 夏威夷  量子位 报道 | 公众号 QbitAI 刚刚,2018最强AI芯片发布! 高通骁龙855,比上一代旗舰骁龙845提升3倍,比华为麒麟980.苹果A12提升1倍. 更强AI性能之外 ...

  7. 荣耀Magic2 发布:滑盖全面屏、前后6摄、屏下指纹、麒麟980

    乾明 发自 凹非寺  量子位 报道 | 公众号 QbitAI 昨天,荣耀在北京发布了新一代的旗舰机荣耀Magic 2. 和小米MIX3发布会一样,场地也是露天的,不过在晚上. 发布新机的时候,现场看发 ...

  8. vivo在CES上展示的屏下指纹识别,能打败苹果的Face ID吗?

    iPhone X最大的缺点是什么?如果要我说,一定是没有了TouchID.苹果的新产品从指纹识别跨越到人脸识别后,大量厂商也在旗舰产品中加入了人脸解锁功能,虽然它们中的大部分没有激进到直接取消指纹键, ...

  9. 从屏下指纹到体感手机,vivo能否走出自己的创新之路?

    据消息称,vivo 展示了全球首款体感游戏手机的工程样机,据说用户只需将手机投屏到电视,就可以畅玩电视大屏幕上的体感游戏.而这也是全球首推的vivo体感游戏手机,这一体感游戏商用机型将有望于今年内正式 ...

最新文章

  1. 基于线段的激光雷达和单目联合曲面重建​
  2. eq linux_linux之shell编程(二)
  3. 【BZOJ 1528】 1528: [POI2005]sam-Toy Cars (贪心+堆)
  4. 你绝对能懂的“机器学习”(二)
  5. Ubuntu下安装make
  6. keySet和Map.Entry的理解
  7. 天涯明民显示连接不上服务器,关于无法正常登录天涯的N种解决办法
  8. 一键导出/备份「有道云笔记」工具
  9. AbstractAutowireCapableBeanFactory 类对容器生成的Bean 添加后置处理器
  10. win10易升_微软Win10版本20H2正式版官方ISO镜像下载大全_windows10_Windows系列_操作系统...
  11. BP神经网络算法:将参数矩阵向量化
  12. BZOJ 2431 DP
  13. Description Resource Path LocationType Java compiler level does not match the version of the instal
  14. 13 MySQL--存储过程
  15. android 计算圆周率方法,android Math的使用
  16. 浅析C#的事件处理和自定义事件 (转载)
  17. 你知道 FW 工程师 是做什么的吗?
  18. 什么是服务器?服务器是干什么用的?
  19. pubwin2009服务端 修改系统时间方法
  20. python对人工智能的看法_为什么人工智能用python

热门文章

  1. 喊你来学习:这些技术微信号你关注了吗?
  2. LIO-SAM mapOptmization
  3. 为何一张JPG图片能价值千万,新媒体艺术迎来爆发时刻?
  4. cerebro 通过https访问ES docker集群
  5. python注释多行
  6. Ubuntu16.04安装steam
  7. iphone app中读取本地txt,csv文件 转载
  8. Js控制页面刷新(局部刷新全页面刷新)
  9. win10系统开启局域网共享
  10. Soul向港交所递交上市申请,持续发力社交元宇宙赛道