三星新旗艦 Galaxy S8 的虹膜辨識日前遭到破解──同時還只使用一枚隱型眼鏡,,數(shù)位相機,以及雷射印表機,。
破解 S8 虹膜設計的組織是德國的一個駭客組織“Chaos Computer Clubs”(CCC),實際上它們在 2013 年也曾經(jīng)解鎖 iPhone 5s 的 Touch ID,那是當代主流智慧型手機,,第一支使用指紋辨識的產(chǎn)品,。而此次的 Galaxy S8 則是第一款使用虹膜辨識的智慧型手機──如果不算上因為電池問題而下市的 Galaxy Note 7,。
使用“假眼睛”
與當初破解 Touch ID 的方法類似,CCC 的手法可能會讓人有些無言,。此次他們破解 S8 虹膜辨識的方式,,是先弄出一張有 S8 用戶眼睛的照片,,可能就是一張會放在網(wǎng)路上的高解析度照片,,然后再用普通的雷射印表機印出來,最后為了要模仿眼球的質(zhì)感,,會在照片上放一枚隱型眼鏡,,接著就可以可以騙過 S8 的虹膜感測。
換句話說,,并不是想像中駭客會做的攻破手機軟硬體,、再解鎖裝置,而是弄出一顆“假眼睛”,,與當初破解 Touch ID 是使用橡膠制的假手指,、再貼印去除“雜質(zhì)”的指紋照片很類似。CCC 也強調(diào),,由于“眼睛”比起指紋更容易曝露在外,,因此理論上會比指紋辨識不安全些。實際上,,在手機提供的種種解鎖工具里,,他們還是相信傳統(tǒng)的密碼比較安全。
CCC 也談到一些細節(jié),,比如透過一般的數(shù)位相機開啟夜拍模式,,或是把紅外線濾鏡拿掉,就可以拍到足供辨識的虹膜照片,。示范中使用的數(shù)位相機則搭配 200mm 鏡頭,,但必須在 5 公尺以內(nèi)的距離拍攝才會成功。
便利性與安全性的平衡
盡管如此,,一般用戶應該可以不必想太多,,畢竟想突破生物辨識解鎖手機,除了必須先拿到用戶本人的手機,,一般小偷大概也不會想花時間制作假手指或是假眼球,。包括蘋果與三星,也都有提供遠端鎖定的功能,,避免手機失竊后被破解,。
此外,指紋辨識等生物感測并不是要追求絕對的安全性,,而是想在安全性,、以及便利性之間找到平衡,,同時加速行動支付的驗證。被 CCC 認為較安全的密碼,,實際上曾有調(diào)查指出,,有高達 50% 的用戶因為嫌麻煩而棄用。相比之下,,不需要在熒幕來回輸入數(shù)字或畫圖的生物感測除了更便利,,“指紋與虹膜只有自己擁有”的感受,也強化了使用行動支付的說服力,。