如果要统计过去的几年,哪一项技术在手机中得到最大程度上的普及,我相信这个答案一定非指纹识别莫属。随着指纹识别技术越来越成熟,几乎所有的国内外智能手机都采用了这一项技术。在个人信息越来越重要的今天,指纹识别的应用真的做到安全了吗?
上月初,有媒体报道称某国产品牌手机因Home键摔裂,出现了陌生指纹可解锁的情况。事实上,手机指纹识别的安全性问题,是一个老生常谈的话题,早在几年前,便有人仅仅凭一张贴膜,就轻松让指纹锁形同虚设。有业内专家分析认为,这一重大安全漏洞不仅仅是个别芯片厂商的设计漏洞,而可能是手机指纹识别的行业性问题,出现问题的原因是手机中指纹芯片算法有漏洞。
细思极恐,一张胶带破解市面主流手机指纹锁
近日,一段视频引发了智能手机用户一片哗然:操作人员在某个知名品牌国产手机中录入一枚指纹后,在后置指纹解锁处,贴上事先准备好的“膜”,在用已录入指纹的手指解锁几次后,其他未录入指纹的手指都可以实现解锁,即使用支付宝、微信指纹支付也没有任何障碍。这张膜是什么特殊的材料吗?不,它只是普通胶带,并无特别之处。当然必须要按照特定的操作步骤之后才可以。
不仅如此,目前市面上在售的品牌手机指纹锁,安全隐患还存在很多。
早在2015年,深圳指芯智能董事长——易海平,便在微博中公开指出,国产手机指纹锁算法目前存在严重漏洞,他指出:现行指纹手机面临8种方式攻击:
1. 假指纹攻击,比如指纹膜
2. 图像重放攻击,采用甲指纹时,把乙(已通过验证)的图像传递给特征提取器
3. 特征重放攻击,类似图像重放
4. 匹配器攻击,使之不能正确计算比对结果,甚至按照攻击者的要求产生比对结果
5. 模板库攻击,即所谓“脱库”攻击,攻击者批量窃取库内用户的指纹特征模板
6. 信道攻击,截获或重放指纹特征模板
7. 决策攻击,指纹识别乃至所有验证识别技术最终都需要给依赖方一个验证结果,便于其作出安全决策,即是否接受当前用户并提供相应服务,篡改或重放验证结果构成决策攻击。
深度思考,国产手机为何遭遇安全瓶颈?
为什么如此简单的操作就能破解手机安全最重要的防线?
手机行业的指纹芯片普遍应用的是全图像比对算法,图像识别算法的缺陷在于算法“只识不别”,问题出在判断这一环,不转换算法路线就没法修复这一漏洞,这是图像算法的天然缺陷。
除此之外,当前的手机指纹锁还存在着诸多其它问题:
一、算法弱,众多国内外手机品牌目前所采用的指纹识别技术都是基于指纹图片匹配计算方法,并不是真正搞安全的特征点算法技术,很多SENSOR公司虽然在指纹传感器有多年的沉淀,但在算法上一直都是购买第三方小型图片匹配软件。图片匹配软件的相似度,小型图片匹配软件读出来的实际上的点数只有3-5%,不像特征点算法是高精度的,国际标准8-10%,国家警用标准是13-15%。
二、体验差,由于算法受性,造成多数手机登记指纹时过于繁琐,体验极差;指纹图片匹配软件特征,造成只有在指纹SENSOR相对固定的位置识别效能才好,在边角按压体验糟糕;依然在干湿手指和假性指纹上依然存在诸多问题。
三.安全性不足,苹果/三星及国产手机指纹部分一直宣称TrustZone技术,其实该技术是实现指纹信息的存储和处理需要SENSOR通过串行外设接口总线即SPI通过处理器AP连接,然后再连接TrustZone的虚拟内存部分进行处理,换句话说指纹SENSOR的成像数据需要AP中转,这就会带来安全隐患,恶意程序是可以截获指纹SENSOR的数据,就算数据是通过加密处理,也是一种隐患的存在。但从根本上说TrustZone还是伪硬件技术,仍然是可以破解的。
从马云刷脸支付,折射生物识别技术隐患
2015年,马云曾在德国秀“刷脸支付”后各种生物识别技术在手机上的应用得到了爆炒;但从目前的智能手机技术水平上看,都存在着很大的安全隐患硬伤,只解决了生物识别的认证,并没有解决生物特征的安全问题。
首先,马云首秀实际上用的是1:1的人脸识别方式,只是本机存储与比对,与支付宝账号进行捆绑,从而打开相关应用,如果把“刷脸”作为唯一的验证手段,那必然是1:N的集中比对,当N很大时(银行有上亿用户),并发和搜索将是N^2次运算,即使计算能力超强,可以实现处理,成本将是巨大;再说“误识率”,即使达到千万分之一的误识率,对上亿用户数据库而言,每次识别也几乎必然出错!解决的办法是增加某种检索,比如输入手机号或者账号后在刷脸,把1:N比对变成1:1比对,可以做到安全、准确。但是这样一来输入繁琐,其便利性尽失。当然这只是解决了验证,并没有安全。
其次,目前绝大多数手机企业采用的是指纹图片匹配计算方式,大多数都是采用SENSOR企业提供的小型软件,这种计算机制存在极大安全隐患,只能应用在相对封闭安全的局域网内,而不能在公共网络如互联网使用,更不能完成支付等关键操作!其安全隐患主要表现在:无论是比对模板还是现场特征在采集、传输/存储过程中都有可能被截获、窃取及重放;更为严重的是生物特征是不可撤销的凭证,一旦泄露,终身受到影响。建议手机企业选择高安全特征点的指纹算法,从指纹体验上解决了极致,从安全性上做到了不可还原,不可逆转。
最后,为了规避上述风险,各种终端验证的“伪生物识别”方案应运而生,比如Fido的UAF,苹果、三星、华为及国产手机企业都采用的Trustzone技术等;其生物识别仅仅用来开启本地终端设备或安全机制来展开之后的验证,依赖方并没有通过生物识别来确定本人,没有达到生物识别可以“人证合一”验证的要求。
总之,现有生物识别技术及解决方案不足以保证在公共网络及互联网上的使用安全。安全的生物识别机制及其模板至少具有以下特性:可撤销(模板或证书可随机多次生成,无关联),不可逆(模板不含可逆推的生物特征值),非对称(依赖方可发起挑战),对传输、存储没有安全要求(如果有,就说明不安全!),希望手机企业建立生物特征芯片独立安全,做到更加专属,更加独立,更加安全。
国密级安全芯片,QS908深谙安全要义
指纹信息的安全性,对于个人来说是隐私问题,对于一个国家来说是国家安全,从中国指纹工业发展至今未来生物特征必须用独立的芯片机制。高安全生物识别技术创领者——深圳指芯智能科技有限公司,是一家专注于多模态生物识别技术20年,并拥有自主知识产权完整体系的研发型高科技企业,也是国内最早实现规模化、产业化的智能智造企业。拥有百余项自主核心专利、软件著作权及科技成果鉴定,国家公安部及权威部门CMA、CNAS检验许可,通过CE(欧盟强制性产品认证)、FCC(美国联邦通信委员会认证)、RoHS(欧美环保标准人体无损害认证)。指芯智能,以安全至上为核心理念,研发了让用户用得放心的灵雀QS908芯片。
一、安全至上,让用户用得放心。据悉,灵雀QS908高安全指纹算法芯片基于高性能32位信息安全专用CPU核设计,属于IOT物联网安全领域第三代生物活体识别技术。同时,灵雀QS908内置了QSFinger 2.4版64K高安全指纹算法引擎,该算法具有独立、封闭、专属、高效、低耗、经济等优势和痛点。
此外,灵雀QS908还集成了指纹特征模板不可逆转的“黑盒”等技术,能实现自适应、自调整、自记忆以及深度学习。更值得一提的是,灵雀QS908还拥有100多项专利及知识产权为其保驾护航,是一款真正意义上的高安全指纹算法芯片。
二、唯快不破,为用户带来极佳体验。除了安全之外,灵雀QS908的另一个突出特点便是“高速”。灵雀QS908具有体极小体积、高速运算、澎湃动力等特点,能给用户带来极佳的使用体验。
据悉,灵雀QS908完成3次注册仅耗时1.5s;同时,灵雀QS908能实现最优1/3指纹覆盖面积快速对比,单枚指纹对比时间仅需0.3s。此外,由于具有自适应、自调整、自记忆以及深度学习的能力,灵雀QS908在使用的过程中将越用越快,越用越好用。
应用广泛,智能物联时代的标配。那么,这一款集聚了高安性与极佳体验特性于一身的指纹芯片适用于哪些领域呢?首先,灵雀QS908可以应用于当下极为火热的智能家居、智能安防领域,特别是智能锁行业。灵雀QS908的使用能从身份验证层面提高智能锁的安全性,提高用户对智能锁的信任度。
其次,灵雀QS908可应用于移动互联网,包括手机、平板及移动通讯领域安全入口;再次,灵雀QS908可应用于金融、军用、警用、工业级应用等行业领域;此外,灵雀QS908还可应用于智慧交通、车联网、医联网、智慧城市,独立识别安全算法及移动支付,以及机器人行为识别、VR及AR安全应用等多个领域。
编辑:芯智讯-林子
