拍照时,许多人喜欢竖起食指和中指,比出剪刀手的手势。这个 Pose 早已深植于人们脑海里,以至于不少人在自拍或合照时,都会下意识地比出这个手势。

然而拍照比剪刀手,问题可能不只是显得普通那样简单......

会。

理论上只要图片足够清晰,黑客就有可能从中获取有效的指纹信息。

复制指纹不容易,但绝非不可能

在电影《蚁人》里,编剧用半分钟的镜头快切,给观众演示了一番如何用厨房里的工具获取指纹并以此破解指纹锁。

当年在影院里看到这一桥段的我,不屑地笑出声,心里想着:

拜托,这都 21 世纪了,还用这种小儿科剧情来糊弄人。

细想一下,除了《蚁人》,不少动作、科幻电影都出现过类似桥段,导演希望借此彰显出主角作为神偷或特工,其头脑之机智。然而这种剧情在今时今日似乎有些过时,这种胶水做出来的「假指纹」真的能破解指纹锁吗?

视频 UP 主谷阿莫曾效仿过蚁人的操作,但最终以失败告终,不过看着更像是操作失误所导致的败局,是一次不那么严谨的模仿实验。

▲ 截自谷阿莫视频

更早之前,美国探索频道的老牌节目《流言终结者》也曾做过相关命题。

在第四季第 18 集中,节目组找来了号称当时最先进的指纹锁,他们前期花了很多功夫去获取指纹信息,过程中用到了碳粉和 502 快干胶,最终扫描生成了一个清晰的指纹图片,随后制作出硅胶指模,前期准备到此告一段落。

节目组拿着做好的硅胶指模,放在门锁的扫描器上轻轻按压,只见绿灯亮起,门锁被破解。令人意外的是,即便是用普通打印机打印出来的指纹相片,也能轻松将这「最先进」的指纹锁打开。

显然这样的结果,连节目组都没有意料到,亚当用照片「意外」解开门锁的时候,惊得他下巴都快掉了,不过我们稍作分析就会发现,这样的结果其实合乎情理。

▲ 截自《流言终结者》

那一期节目拍于 2006 年,那时候的手机还没有指纹模块,因为那时候光学指纹识别技术才是加密界的主流技术。

简单来说,它利用光学采集的方式,识别手指指尖上的纹路,原理就相当于给手指拍了张照,然后与数据库中的指纹信息进行对比,没有进行生物特征加密,自然很容易被破解。

换句话说,只要指纹图像足够清晰,就能无痛破解光学指纹识别,面对这类设备,人们拍照时竖起的剪刀手,确实有可能被一些有心人利用。

2014 年,在欧洲 Chaos 计算机俱乐部年度会议上,黑客 Starbug 展示了他利用时任德国国防部长的乌尔苏拉·冯德莱恩的照片来伪造指纹的方法,以此证明当时指纹技术的潜在风险。

Starbug 并非其真名,他叫 Jan Krissler,是一名远近闻名的白帽黑客,早在 2013 年,Jan Krissler 就尝试利用屏幕上的指纹污渍,借助胶水和喷涂式石墨烯材料,制作出一个「假指模」,以此破解了 iPhone 5S 的 Touch ID 传感器,那时 iPhone 5S 刚发售不到 24 小时。

在 2014 年的活动演示中,他所使用的图片,是冯德莱恩出席新闻发布会的现场图片,照片中的她竖起了右手大拇指,Jan Krissler 借此照片,配合一台 Verifinger 扫描设备复制出部长的完整指纹。

Jan Krissler 并不想利用这种技术作恶,反而希望以此唤醒大众对指纹安全的警惕

无独有偶,日本国立情报学研究所 (NII) 的科学家在 2017 年成功从一张三米开外拍摄的照片中,提取出可用的指纹,如今的手机摄像头动辄几千万像素,所拍相片的清晰程度远比当年要高,显然要从相片中收集到清晰的指纹并非难事。

存在风险,但或许我们不用太过担心

不过,指纹信息泄漏是一回事,我们财产安全会否因此受到威胁又是另一回事。

当下我们普通人平日最有可能接触到指纹识别设备的场景,大多出现在手机、笔记本电脑和智能门锁上,而主流的智能手机,主要采用三种指纹识别方式:光学屏下识别、超声波屏下识别和电容式指纹识别。

三者各有其优劣势,所谓「有舍才有得」。

相比之下,光学屏下识别的安全性最差,因为它相当于把传统光学采集技术置于屏下,利用屏幕光照亮用户手指,屏下传感器接收到指纹图像信息,与手机内收录的指纹对比特征点,以此判断是否为本机用户,理论上可以用硅胶指纹破解。

一加 7 Pro 就曾被这种方法破解过,但它的优势在于快,如今主流 Android 手机,基本上都能在零点几秒左右的时间里完成识别、解锁并进入界面。

▲ 出自油管频道 Max Tech

第二种超声波识别技术采集到的,是 3D 指纹位点信息,黑客很难利用 2D 指纹图像生成凹凸有致的手指纹路,更不可能据此制作出模拟指纹。

当年三星 Galaxy S10 便采用超声波屏下指纹识别技术,相较于同时期的光学屏下识别设备,前者识别和解锁的速度慢了许多,甚至让人感觉有点呆,但它的优势便在于安全系数高。

▲ 截自三星超声波指纹宣传视频

成功破解一加 7Pro 的油管博主 Max Tech 尝试利用相同的胶制指纹去解锁 Galaxy S10 Plus,最终未能成功。

▲ 出自油管频道 Max Tech,硅胶指纹在超声波面前就失效了

第三种电容式指纹,多了一道识别生物电信息的门槛,不法分子要制作出可导电的模拟指纹难度较高,安全系数相对较高。

▲ iPad Air 4 侧边指纹

此外,部分设备还配有活体检测功能,借助体温、心跳等辅助信息,判断所扫描的指纹是否出自真人,给手机信息再加一道锁。

综上,如果你用的是屏下光学识别的手机,是有可能被合照中比的剪刀手所泄露的指纹信息破解的。

然而手机厂商们还为用户加上了最后一道防线:录入的指纹信息,只存于本地,不会上传至网络,这意味着黑客不可能发动大规模入侵活动。

▲ 图片来源:Unsplash

因此,如果有人想要破解你的手机,他得同时获得你的指纹信息和你的手机才行。

不过说到底,拍照时用双指比出剪刀手确实有泄漏信息安全的可能,要不以后咱还是换个手势自拍吧。

本文来自微信公众号“APPSO”(ID:appsolution),作者:王志劭,36氪经授权发布。

推荐内容