黑客談Touch ID:雖不完美但是很棒

jopen 11年前發布 | 7K 次閱讀 黑客

黑客談Touch ID:雖不完美但是很棒

        英文原文:Why I Hacked Apple’s TouchID, And Still Think It Is Awesome.

        此前,我們已報道過黑客成功繞過 Touch ID 的消息。智能手機安全公司 Lookout 的安全專家 Marc Rogers 也使用自己的方法成功地繞過 Touch ID,但 Rogers 表示,雖然 Touch ID 存在缺陷,但這一技術依然很棒。

        事實上,用于安全識別的指紋無處不在,而這些指紋被竊取是完全有可能的事情。因此,就 Touch ID 的安全問題而言,關鍵在于蘋果是否能設計出一套可辨別假指紋的安全系統。

        的確,Touch ID 的設計存在缺陷,而黑客也有可能利用這些缺陷來解鎖 iPhone。不過,普通消費者不必為此感到特別擔心,因為這個解鎖過程其實一點也不簡單,只有掌握多種技術、進行大量學術研究并擁有犯罪現場分析技術人 員那樣的耐心,才有可能繞過 Touch ID。

        首先,要找到符合條件的指紋。這個指紋必須是完整、未被污染過的,而且必須保證是正確的手指。假如按蘋果的設計使用拇指指紋,那么想想你平時使 用 iPhone 的習慣吧。你會發現,你很少會用拇指接觸機身,即使接觸,大多數時候也是在滑動拇指。因此,獲取這樣的指紋有一定難度。

        其次是竊取指紋。這個過程的難度堪比 CSI 的取證技術,首先需要用到氰基丙烯酸鹽粘合劑(即超級膠)和合適的指紋粉,然后再用指紋膠帶小心翼翼地將指紋復制過來,該過程并不簡單,很容易玷污復制的指紋。而且一旦被玷污,原來的指紋也無法再使用了。

        接下來,要將指紋粘在一張白色卡片上。這樣的指紋對一些舊的讀取器也許還管用,但在 iPhone 5s 上是不管用的。因此,你只能復制一個假指紋。這或許是最困難的一步,該過程要持續數小時,而且需要用到高分辨率相機、激光打印機等較昂貴的器材。

黑客談Touch ID:雖不完美但是很棒

        首先,你需要將指紋拍下來,圖片必須與指紋的比例一致,并保證足夠高的分辨率。其次,你還需要對圖片進行編輯,盡可能地去除污漬。圖片處理完成后,你可以有兩個選擇:

        一是使用和 CCC(Chaos Computer Club)一樣的方法。先將指紋圖片植入軟件,把激光打印機的濃度調至最大,用透明膠片將指紋打印出來。然后在膠片有油墨的一面涂上膠水和溶劑,并把它晾干。最后再揭下晾干的那層膠質薄膜,假指紋制作完成。

        另外一種方法是 Tsutomu Matsumoto 在 2002 年發表的論文《人造膠質手指對指紋系統的影響》一文中講到的技術。首先,直接將指紋圖片用透明膠片打印出來;然后把透明膠片與較厚的銅箔光敏 PCB 板壓緊,并涂上特殊的化學物質進行曝光。接下來,利用“蝕刻”技術去除多余的銅箔,形成一個指紋模型。最后再涂上膠水,晾干后形成膠質的假指紋。

        最后的最后,假指紋的使用也并非易事。

        由此可知,繞過 Touch ID 是個極其復雜的過程,絕非一般的小偷能夠做到的。此外,在 Touch ID 識別失敗 5 次后,iPhone 就會啟動密碼解鎖。當然,如果是有預謀、有資源和技術的襲擊,Touch ID 就在劫難逃了。

        Touch ID 可以說是一個方便但并非強大的安全控制系統。其實,現在只有 50% 左右的智能手機用戶會設置解鎖密碼,而不設密碼的第一大原因就是不方便。在一般情況下,Touch ID 用于保護手機已綽綽有余,遠好過沒有。

        如今,人們智能設備中的敏感信息越來越多,對待智能手機應該像對待信用卡一樣謹慎。指紋安全系統能在以下三種情況中保護智能手機用戶的數據:

  • 手機被盜;
  • 手機不慎遺失;
  • 遭到釣魚網站攻擊。

        然而,我們必須要仔細審視指紋安全系統的數據管理方式及其對個人隱私造成的影響。首先是指紋數據的儲存問題。9 月 19 日,美國參議員 Al Franken 向蘋果發信表達了他對 Touch ID 指紋識別系統隱私問題的擔憂。Touch ID 在數據儲存和隱私方面主要面臨三大問題:

  1. 蘋果獲取的指紋數據包括些什么?
  2. 這些數據是如何儲存和獲取的?
  3. 這些數據可以通過數學和仿真手段來復制嗎?

        從法律角度看,指紋與密碼有著很大的區別。例如,某些情況下執法人員可以要求你蓋指印,而不會要求你提供密碼。

        指紋識別技術并不完美,但我們并不能因此拋棄該技術,相反,我們應該在以后的產品和服務中努力改進這一技術。如果我們能很好地利用指紋識別技術的優勢,并能對它的缺陷作出正確的預判,那么這一技術將為提升安全性和用戶體驗帶來極大的價值。

        希望 Touch ID 能夠開啟指紋加密碼的雙重驗證功能。這兩種驗證方式各有優缺點,綜合兩種方式能夠揚長避短。

        就拿銀行應用來說,登陸系統可以僅使用指紋識別,方便又快捷;但當用戶需要進行查詢余額或轉賬等其它操作時,就可采用指紋 + 密碼的雙重驗證功能,這足以保證賬戶的安全性。對于企業應用,這樣的雙重驗證系統也可保證賬戶免受釣魚網站的攻擊。

        總言之,雖然 Touch ID 可被繞過,但這一技術仍是智能手機在安全領域邁出的重要一步。Touch ID 必然會經歷成長的陣痛,路漫漫其修遠兮,希望蘋果將上下而求索。

來自: 36氪
 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/35fd60