手机指纹扫描仪不完全安全
据信,没有两个人有相同的指纹,但纽约大学Tandon工程学院和密歇根州立大学工程学院的研究人员发现,印刷品之间的部分相似性已经足够普遍,以至于手机中使用的基于指纹的安全系统和其他电子设备可能比以前想象的更脆弱。
漏洞在于基于指纹的身份验证系统具有无法捕获用户完整指纹的小型传感器。相反,它们扫描并存储部分指纹,并且许多电话允许用户在其认证系统中注册几个不同的手指。当用户的指纹与任何一个保存的部分打印匹配时,将确认身份。研究人员假设不同人的部分版画之间可能存在足够的相似之处,人们可以创建“MasterPrint”。
纽约大学Tandon计算机科学与工程教授,研究小组负责人Nasir Memon解释说,MasterPrint概念与试图使用常用密码(例如1234)破解基于PIN的系统的黑客有一些相似之处。 4%的时间,密码1234将是正确的,这只是你猜测时相对较高的概率,“Memon说。研究小组开始研究是否能找到可以揭示类似漏洞的MasterPrint。实际上,他们发现人类指纹模式中的某些属性足以引发安全问题。
Memon和他的同事,纽约大学Tandon博士后研究员Aditi Roy和密歇根州立大学计算机科学与工程教授Arun Ross,使用8,200个部分指纹进行了分析。使用商业指纹验证软件,他们发现每个随机抽样的800份部分打印批次平均有92个潜在的MasterPrints。他们将MasterPrint定义为与随机抽样批次中至少4%的其他印刷品匹配的版本。
然而,他们发现800张全印花样本中只有一张全指纹MasterPrint。“毫不奇怪,错误地匹配部分印刷品的可能性大于完整版印刷品,大多数设备仅依靠部分印刷品进行识别,”Memon说。
团队分析了从真实指纹图像中剔除的MasterPrints的属性,然后构建了一个用于创建合成部分MasterPrints的算法。实验表明,合成部分打印具有更广泛的匹配潜力,使得它们比真正的部分指纹更容易欺骗生物识别安全系统。通过数字模拟的MasterPrints,团队报告成功匹配了26%到65%的用户,具体取决于为每个用户存储了多少部分指纹印象,并假设每次认证最多尝试五次。给定智能手机为每个用户存储的部分指纹越多,它就越容易受到攻击。
Roy强调他们的工作是在模拟环境中完成的。然而,她指出,为了欺骗设备而创建合成打印件和将数字MasterPrints转移到物理工件的技术的改进带来了重大的安全问题。MasterPrints的高匹配能力指出了设计值得信赖的基于指纹的认证系统的挑战,并强化了对多因素认证方案的需求。她说这项工作可能会告知未来的设计。
“随着指纹传感器尺寸的缩小,传感器的分辨率必须得到显着提高,才能捕获额外的指纹特征,”Ross说。“如果不改进分辨率,用户指纹的独特性将不可避免地受到损害。在这项研究中进行的实证分析清楚地证实了这一点。“