【PConline 前沿】生物认证的方式已经成为移动设备上越来越流行的配置,自苹果iPhone 5s推出指纹识别功能之后,指纹识别逐渐先后在手机、平板等移动设备上风靡起来,随着生物认证的方式多样化和发展,近年来的眼纹识别、虹膜识别、声纹识别等陆续出现。这种便捷安全的方式已经逐渐取代密码和PIN码,我们当初都认为指纹是独一无二的,而且认为它比密码要更安全,从这一个角度来看确实是这样。
尽管各类生物认证方式有着较高的安全等级,可是我们现实中确实出现了破解和伪造指纹的事情。当我们还想着各种办法以防自己的指纹被暴露的时候,殊不知我们的指纹信息或许已经偷偷从我们的PC上流出了。
传统密码和生物认证的博弈
很多人认为传统的密码要比指纹识别的安全级别低,实际这并完全准确。根据一项调查显示,世界上最常用的10组密码里面,"123456"和"1234567890"是排在前两位,前者有17%的用户都采用。显然这是应对不易记忆和不方便而采取的方式,很多人很难记得复杂繁琐的密码,设置简单的密码也大大降低传统密码的安全性。
选择顺序密码的不少数
生物认证方式要比传统密码在便捷性要更强,同时通过其他技术优势增强移动设备的安全性,可是其依然能够被破解。比如照片可以破解面部识别;录音可以破解语音识别;甚至是手指都能被伪造。实际传统密码在安全性上并不差,只是需要你设置密码的时候用足够长的位数,还需要字母数字大小写混用,当然这是十分不方便的,因此指纹识别等生物认证方式逐渐取代他们成为主流。
指纹识别的防守战
我们以指纹识别为例,相信能屡屡能听到或了解到一些指纹识别的破解案例。同时随着3D打印机的普及,伪造指纹变得更为简单快捷。因此各家手机终端厂家都在指纹识别模块中做功夫,如通过开启指纹信息本地存储、添加独立的指纹信息安全区域、活体指纹识别技术等等。
要想令指纹识别方便之余还能够保证安全,那就要从指纹信息泄露、盗取、伪造这三个方面防护。而今天的主题主要说的是指纹信息源的泄露盗取这一方面。
通过PC笔记本盗取指纹信息
这里说的指纹信息泄露盗取并不是如我们电影电视剧那般,例如你接触物体的物理指纹等,要想完整套取这些指纹信息所花费的成本和时间是巨大的,一般情况下这些均是针对犯罪等重大的事件。此外带有指向性的指纹获取不常见的,例如有陌生人让你在一些指纹模块上留下指纹,通过我们自我判断一般是很难通过这些方法盗取我们的指纹信息。
那还有什么途径呢?有人说从用户的手机上通过黑客软件应用获取,可是现在人们都是手机不离身,基本没可能让我们手机长时间离开我们,因此这种方式的难度也很大。除了手机,我们还忽略了我们自身最重要的个人设备,那就是PC电脑。
PC设备指纹安全堪忧?
可能很多人都忽略PC的指纹信息保护,实际上现在笔记本厂商所选择的的指纹传感器会让你的指纹信息很容易被暴露。目前笔记本PC市场上有主要有两种指纹识别传感器,一种是有加密的功能,另一种是没有通过加密。如果是采用没有加密的指纹传感器,你的指纹信息和指纹图像就非常容易被盗取。
PC笔记本开始配置加密指纹识别模块
为什么笔记本厂商选择没有加密的传感器?一方面是由于成本问题,虽然现在有加密功能和没有加密的指纹传感器在成本上只差3-5美金左右,但是对于出货量比较多的PC笔记本设备来说,这一笔成本还是挺巨大的。另一方面很多PC笔记本厂商会直接采用手机的指纹识别传感器,因为手机拥有一些独特的构造,如防水防尘,不易被拆解,而PC没有,所以手机厂商优先考虑的也是成本问题。
与电脑不同,手机几乎在任何时候都是不离身的。手机可以依靠物理上的安全来确保传感器的安全。但笔记本电脑却不同,它通常都会被放在家里的桌子上、汽车里、办公室里或者是公共咖啡厅的桌子上。你可以在短短几分钟内就轻松访问电脑内的文件。正由于安全和使用模式的不同,手机的指纹识别传感器组件是并不适合应用在PC上的。
当然手机指纹破解的情况依然很多,可是综合来说破解PC要比破解手机容易更多。如果PC采用没有加密、部分加密或者采用乱序的指纹传感器,那就很容易被从系统中盗取相关指纹信息。
10分钟盗取伪造指纹解锁手机
在台北电脑展期间,Synaptics演示相关的PC安全隐患,并用于伪造指纹信息轻松解锁手机。在开始这个演示之前,笔者在他们提供的笔记本的指纹识别模块上录入指纹信息,随后在进行PPT讲解原理的几分钟内,他成功通过获取的指纹信息打印了笔者的指纹信息,并且通过打印的指纹信息能够非常容易解锁笔者的iPhone和另一部安卓手机。这一个过程前后还不超过10分钟,笔者也深深倒吸一口气。
盗取并打印的指纹信息,可用其轻松解锁iPhone(指纹信息作防盗窃处理)
据Synaptics的技术人员讲解,笔者刚才输入指纹信息的笔记本上指纹传感器是没有经过加密,通过内置的黑客软件应用,黑客电脑能通过无线轻松从被盗电脑上获取未加密的指纹信息,然后黑客电脑就拥有那位用户的指纹信息,其可以是指纹识别特征或者指纹图像。
黑客拥有这些指纹信息之后,他可以执行两种操作。第一种便是通过一个叫Replay Attack的东西,把指纹数据信息重新传送到被盗的电脑,远程操作解锁电脑,随时黑进你的电脑。这是一个很可怕的事情,黑客拥有被盗电脑的管理员权限,除了可以盗取被盗电脑的各种机密资料之外,还能够通过网线等方式解锁电脑,获得企业网络服务的访问权限,甚至还可以发出网络攻击,控制电源电路,令其盗窃痕迹隐藏起来。
利用无线把数据传送到被盗电脑,远程解锁操作电脑(视频演示):
第二种操作便是伪造假的指纹,这也是最常见的做法。有了假指纹,不仅能解锁你的手机,还能解锁的PC笔记本,所有个人资料无所遁形。对于个人用户来说,假指纹对移动支付危害甚大,而对于企业用户来说,公司的机密资料和信息都容易被泄露。
指纹信息泄露危害
有趣的是,虽然Synaptics从公司带来了打印机,可是遭遇了一些意外损坏了,他们就在当地的电脑市场购买了一部大约150美元的打印机,同时在当地的耗材市场购买了导电墨水,依旧能把指纹顺利打印制作出来,这向我们说明了,只要拥有指纹信息,制作假指纹现在会显得很简单和方便。
