立即捐款

泡泡

從賣萌小貓到翻牆貼士,從網絡色情到網絡安全,泡泡提供未經審查的網絡新聞。Facebook:www.facebook.com/paopaonetizen 網誌

媒體

指尖上的安全危機

指尖上的安全危機
廣告

廣告

蘋果今晨發布的iPad Air 2配備了其特有的指紋授權登錄技術Touch ID。 Touch ID技術最早在去年發布的iPhone 5s上首次亮相,如今在三個不同的iPhone型號上得到普遍使用。蘋果表示,在iPad上引入這一技術不僅能夠增加iPad登錄的安全性,還能讓iPad融入該公司推行的Apple Pay支付生態體系中。但也有不少人也對指紋識別提出質疑:作為「鑰匙」來使用的指紋實際上隨處都可能留下,這些不經意洩漏的指紋是否會被其他人利用?

iPhone 5S指紋識別輕易破解!

去年iPhone 5s正式開賣不過三天,其主打的指紋識別功能Touch ID就慘遭破解——德國知名黑客Starbug自己製作了一套指紋,成功騙過了Touch ID系統。他甚至還製作了一個視頻詳細介紹破解iPhone 5S指紋識別的方法,它揭示了一個殘酷的現實——遺留在任何地方的指紋,都可能被用來繞過Touch ID。 Starbug表示破解Touch ID「毫無挑戰」,他甚至感到「非常失望」:「我只花了30個小時就成功破解了Touch ID。我大概花了半個小時來做準備工作,而花費了更多的時間去尋找傳感器的技術規格信息。我非常失望,因為原本以為需要花費1到2個星期才能破解它。這次破解毫無挑戰。」

Starbug表示自己並不是為了批評蘋果,「你唯一可以批評他們的是,把Touch ID標榜成安全可靠的,即便他們知道這套系統有被攻破的可能。」在Starbug看來,「利用生物識別技術來進行身份驗證是存在問題的。」

安全技術專家Bruce Schneier也表示,假如有人能夠通過一款足夠好的打印機製造你的一份指紋拷貝,並且這份拷貝足夠好,那麼他將能夠成功得到你的iPhone的認證。

iPhone 6指紋識別存漏洞:假指紋可解鎖手機

來自德國柏林的安全研究實驗室(Security Research Labs)近日發現,蘋果公司最新手機iPhone 6/6 Plus上的指紋識別功能功能相比上一代並沒升級,依然可以用指紋膜騙過,造成安全隱患。在新一代iPhone發售之後,Security Research Labs採用一台iPhone 6進行試驗。測試中可以看到,安全風險依舊存在, 指紋膜依然可以通過驗證。這意味著蘋果可能並沒有升級Touch ID的傳感器,在新一代iPhone上,蘋果加入了Apple Pay移動支付功能,開放端口後,一些第三方iOS應用也可以通過它打開,這個漏洞的危害性或許比之前更嚴重。

眾所周知每個指紋都是唯一的,因此,即使兩個單獨指紋的一小部分極為相似,也不可能註冊為Touch ID 的同一指紋。對於一個已註冊的指紋,發生這種情況的可能性為五萬分之一。這比典型4 位密碼的一萬分之一​​的猜中機率要好得多。雖然某些密碼(如「1234」)可能很容易就被猜出,而指紋方式則根本不存在這種能輕易猜出的可能性。另一方面,五萬分之一的可能性表示需要嘗試多達五萬次不同的指紋,直到可能無意中找到完全一樣的指紋。而Touch ID 只允許嘗試五次指紋,如果都不成功,您必須輸入密碼,否則不能繼續操作。

安全技術專家Bruce Schneier解釋說,指紋識別系統出現故障的情況大致可分為兩種:一種是錯誤地讓未經認證的人取得訪問許可,另一種則是將經過認證的人拒之門外。後者的情況往往比前者更為糟糕——你將無法打開你自己的手機。在蘋果的設計中,很可能將為了照顧後一種情況而適當地允許第一種情況的發生。另外,在寒冷的天氣下或是剛洗完澡時,指紋的識別或許將出現一定的困難,屆時蘋果或許將提供傳統的解鎖方案以防萬一。

指紋數據庫

指紋識別的另一個問題在於存儲指紋數據的數據庫。假如採用中心數據庫的形式,這個大型數據庫一旦遭到攻擊,將會導致大量數據的洩漏。 Bruce Schneier因此推斷,蘋果肯定會採用本地認證的形式——用戶將自己對手機授權,而不是通過網絡進行該操作。

據蘋果官方介紹,Touch ID 不會儲存指紋的任何圖像。它只存儲指紋的數學表達式。不可能從該數學表達式反推導出實際的指紋圖像。 iPhone 5s 還包括A7 芯片內稱為「Secure Enclave」的全新高級安全架構,專門開髮用於保護密碼和指紋數據。指紋數據通過Secure Enclave 的專用密鑰得到加密和保護。指紋數據僅由Secure Enclave 使用,以驗證指紋是否與所註冊的指紋數據匹配。 Secure Enclave 獨立於A7 的其他部分以及iOS 的其他部分。因此,指紋數據絕不會由iOS 或其他App 訪問、絕不會存儲到Apple 服務器,也絕不會備份到iCloud 或其他任何地方。只有Touch ID 使用它,並且不能將它用於匹配其他指紋數據庫。

本文原載與泡泡網民報告

廣告