時下,移動支付已經非常普及,從掃碼付款到銀行app轉賬均可在手機上輕鬆完成。為了進一步提高便利性,生物識別技術被引入支付過程,幾乎完全替代了密碼輸入,成為時下最受歡迎的認證方式。
就當前來看,常見的生物識別包括指紋、人臉、虹膜、聲紋等。今天我們不談別的,僅針對手機最廣泛使用的指紋識別技術來說說,有哪些技術分支,以及它們是否真的可以保證我們的支付安全,因為一旦攻破了指紋認證,用戶手機當中的大多數隱私和資金都會變得岌岌可危。
自從2013年9月蘋果公司發佈iPhone 5s以來,手機指紋識別技術發展迅猛——從前置/後置的獨立指紋模塊,到現在科技感十足的屏下指紋,甚至部分手機已做到半屏甚至全屏指紋識別。
我們知道,人類指紋天生具備不變性和唯一性,特別適合作為生物認證要素,而且這種一觸即達的體驗,更是讓人產生很大的依賴性。
那麼,當今市場上主流的指紋識別技術都有哪些呢?總體而言,主要有四種:
(1)電容指紋。其原理顧名思義,即在一塊佈滿半導體器件(器件密度決定識別精度)的平面模塊上,手指貼上去充當電容的另一面,由於手指表面有凹凸不平的脊谷,凸出處和凹陷處接觸器件表面的實際距離就有差別,形成的電容值也就不一樣,設備將所有的電容讀數彙總構成一幅類似沙盤的3D指紋採樣,與手機存儲的合法指紋記錄進行對比給出匹配結果。
從以上電容指紋的原理不難看出,其採集的指紋數據是有深度信息的,或者說是三維的,而一般打印的平面指紋不具備立體特徵,肯定無法騙過電容指紋,但真的就沒有辦法了麼?當然不是!
出於提高識別成功率的考慮,一般廠商都會在指紋識別當中加入自學習功能,通過用戶日常使用的增多,不斷優化指紋數據,並且適當降低容錯門檻,以便手機能夠在一些不太理想的情況下(比如手指按偏了一些、指尖覆蓋了一些汗水或汙物)也能識別用戶的指紋。
這樣一來,就有好事者琢磨出一種旁門左道——利用手機自學習的特點,使用導電液筆塗抹透明膠布,貼在指紋模塊上(只遮擋一部分),讓手機主人繼續指紋解鎖,結果導電液的圖案被優化進指紋特徵數據,超過了相似度閾值,之後任何人隔著這個膠布用手指按壓指紋模塊,都可以順利解鎖手機。這就給手機用戶的個人隱私與資金安全帶來了隱患。
如何應對呢?應對方案很簡單——不要把手機借給不信任的人,特別注意指紋模塊上是否覆蓋有奇怪的貼膜。
(2)光學指紋。基本原理是利用屏幕照亮手指,隨後手指的成像透過顯示層像素間的小孔,被屏幕下方的光學傳感器/攝像頭所感知,進而比對識別。
不過,光學指紋技術採集到的指紋信息都是平面的二維圖像,而且受制於光線傳播路徑的影響,採集的數據有損失,因此在2018年10月的GeekPwn國際安全極客大會上,騰訊安全實驗室公佈了當時手機光學指紋技術廣泛存在的缺陷:殘跡重用漏洞,即採用反射體欺騙的方法,可以利用屏幕上殘存的指紋痕跡加上一張尋常的卡片,讓屏下指紋傳感器採集到手機主人的指紋殘跡併成功解鎖。
由於該漏洞影響廣泛且攻擊手段實在簡單,因此,騰訊聯合各手機廠商快速更新了指紋識別算法,也就是說如果讀者朋友們手上恰好有一部使用光學屏下指紋的2018年10月以前出廠的手機,務必儘快升級手機系統版本,避免漏洞被不法分子利用而造成經濟損失。
(3)薄膜光學指紋。基於普通光學傳感器或攝像頭的光學屏下指紋識別技術受制於傳感器大小和成本,難以擴大指紋識別區域,因此為了提升使用體驗,部分廠商在概念手機上嘗試了薄膜光學指紋識別。這裡以上海籮箕公司的技術為例進行解讀,其原理是在屏幕中增加一層TFT薄膜層,“指紋信息經由蓋板玻璃反射後被像素的光敏器件獲取,光子轉換為電信號後通過特殊設計的16位模擬/數字電路進行數據分析,再由圖像處理技術處理後輸出清晰完整的指紋圖像”。
由此可以看出,薄膜光學指紋與普通光學指紋並沒有本質的區別,手指光學反射的依然是二維圖像,如果不增加特殊的活體檢測,也會存在前述殘跡重用漏洞的可能。
(4)超聲波指紋。超聲波指紋已在今年最新的旗艦手機上商用,原理類似聲吶,通過屏下發射超聲波接收反射來收集指紋的脊谷3D數據。它可以穿透油脂和水漬,由於超聲波的既有特性,其採集的指紋信息精度要明顯高於電容指紋。
然而,很快國外已經有人破解了超聲波指紋,他首先拍攝了多張自己在酒杯玻璃上留下的指紋,之後利用Photoshop加工,並用3ds Max建模(需要計算出指紋脊谷的高低差),讓照片中的指紋變成立體的3D版本,最後通過高精度的光子樹脂打印機制作了樹脂指紋模,併成功解鎖手機。
這整個過程可以在20分鐘內完成,指紋取樣完全可以就地取材,即直接提取手機上的指紋痕跡。值得一提的是,這種3D打印假指紋,基本可以破解前面所有3類指紋識別技術,只不過破解技術成本非常的高。
需要指出的是,不少指紋識別供應商早已意識到了風險,並且正在努力改進下一代產品,常見的方案包括:
A.軟件算法優化,動態檢測指紋按壓時的形變(排除某些硬質假指紋的干擾),配合心跳檢測,靜態檢測則依靠採集高精度的圖像,比對手指上的汗孔特徵(假指紋難以還原)。
B.硬件功能升級,增加對膚色和血流的識別,增強活體識別的強度(假指紋無法模擬)。
不過話說回來,攻破了指紋識別的防線,就可以為所欲為了麼?還真不一定!現代風控手段還會在指紋認證後的業務流程當中隨時識別異常,比如蘇寧金融會對大額陌生轉賬、異地消費、可疑收貨地址等不正常的用戶行為實施攔截,風險部門的員工會額外執行電話確認以保護用戶權益。
因此,在更安全的指紋識別技術推廣以前,讀者們不必太過擔心。當然,該提醒的也要提醒——建議各位不要在手機當中的備忘錄或者相冊中存儲敏感信息(例如賬號密碼/取款密碼/身份證照片等),畢竟手機本地存儲裡的數據在指紋解鎖後就徹底大白於天下了。
另外,就是不要輕易在網上購買工具製作指紋模,好讓同事朋友代簽到(比如為了工作或練車),因為一旦指紋模被別有用心的人利用(複製),您的手機甚至家裡的指紋鎖都不再安全,而且這種風險是長久難以消除的。
(作者:蘇寧金融研究院特約研究員周成;來源:蘇寧財富資訊;首圖來自壹圖網)
閱讀更多 蘇寧金融研究院 的文章
