騰訊安全玄武實驗室指紋破解研究引關注 可自動破解多類型指紋設備

智能手機、智能門鎖、保險箱、考勤打卡…人類指紋150億分之一的重復率，使得指紋解鎖正在大范圍應用在各種身份識別場景，但這就絕對安全嗎?

在10月24日上海召開的GeekPwn 2019國際安全極客大賽上，騰訊安全玄武實驗室繼“殘跡重用漏洞”后，再次披露了指紋識別領域的最新研究——自動化破解多種類型指紋識別。該研究通過提取用戶在日常生活中留存的指紋，自動化進行克隆復原，進而通過各種指紋設備的驗證。

為了更好地傳遞指紋設備的安全研究，騰訊安全玄武實驗室研究員陳昱在GeekPwn 2019現(xiàn)場，邀請觀眾共同完成該研究項目展示。在觀眾接觸過一個玻璃水杯后，陳昱先是拿出手機拍攝觀眾留存在水杯上的指紋，隨后在手機上調(diào)試之后“克隆”了一個全新的指紋，利用這個“新指紋”通過了該觀眾提前錄好指紋的3臺手機和2臺考勤機的指紋識別，一共破解了使用電容、光學和超聲波三種技術(shù)類型的指紋驗證設備。

(騰訊安全玄武實驗室在比賽現(xiàn)場成功完成挑戰(zhàn))

陳昱向大家解釋了演示項目背后的技術(shù)原理，其實并不是什么魔法，而是采用屏幕圖像采集技術(shù)以及指紋雕刻技術(shù)，首先通過使用特殊拍照方法提取手機、門鎖、考勤機等物品上的指紋，經(jīng)過指紋破解APP解析形成有效指紋信息，再借助雕刻機克隆指模，最后便可使用克隆指模通過各種驗證。值得一提的是，這次挑戰(zhàn)也是國際上第一次成功攻破超聲波屏下指紋識別技術(shù)。

看上去，演示項目實現(xiàn)了指紋的“復制”與“粘貼”，但這背后是玄武實驗室獨家自研的指紋破解APP及指紋采集框，不僅能夠?qū)崿F(xiàn)在只有極小面積的指紋殘影情況下提取復刻有效指紋，還是首次將雕刻技術(shù)應用在系統(tǒng)破解。

不過，用戶無需過分恐慌。雖然該技術(shù)可對多種類型指紋識別進行自動化破解，但用戶只需在日常使用中養(yǎng)成及時擦去指紋的習慣，即可大幅提升指紋設備安全。

但對于指紋設備而言，這次研究卻折射出其存在的安全隱患。事實上，騰訊安全玄武實驗室?guī)肀敬巫詣踊讣y設備破解研究之前，就率先多次披露了關于生物活體檢測的安全研究。騰訊安全玄武實驗室關于面部識別研究的議題入選了在今年世界頂級黑客Black Hat，在議題中介紹了通過軟件無感知的方法注入生物特征從而繞過基于攻擊介質(zhì)的活體檢測，依托Face ID注視檢測在特定場景下的設計缺陷，可以在用戶閉眼的狀態(tài)下解鎖手機。

在去年的GeekPwn上，騰訊安全玄武實驗室重磅披露了在安卓手機中普遍應用存在的屏下指紋技術(shù)安全問題——“殘跡重用”漏洞，該漏洞會幾乎無差別地影響所有使用屏下指紋技術(shù)的設備。利用該漏洞，攻擊者只需一秒鐘就可解鎖手機。

毫無疑問，指紋解鎖、面部解鎖的安全問題不并不是孤例，而是產(chǎn)業(yè)互聯(lián)網(wǎng)時代所有上下游產(chǎn)業(yè)鏈都需要共同面對并攜手解決的安全隱患。騰訊安全玄武實驗室在不斷探索前沿技術(shù)的同時，還致力于打通產(chǎn)業(yè)鏈上下游的聯(lián)動，建立良好的協(xié)同修復機制，幫助廠商及時修復安全漏洞，共同推進行業(yè)安全問題的解決。

騰訊安全玄武實驗室研究員陳昱也在現(xiàn)場重申了騰訊安全對于安全研究的初衷，未來，騰訊安全還將持續(xù)深耕漏洞研究，輸出自身的安全能力，與第三方廠商共同筑造安全防線，為安全新思維的升級和新趨勢的探索貢獻力量。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。