合罗山农业网

首页 > 正文

GeekPwn 2019:腾讯安全玄武实验室实现针对多种类型指纹识别系统的全新自动化破解

www.ighdhair.com2020-01-29

智能手机、智能门锁、保险箱、时间卡……人类指纹的重复率是150亿次,使得指纹解锁在各种身份识别场景中被广泛使用,但这绝对安全吗?

在10月24日于上海举行的极客2019国际安全极客大赛上,腾讯安全宣武实验室披露了指纹识别领域的最新研究,以自动破解“残留重用漏洞”之后的各种类型的指纹识别。本研究提取用户在日常生活中留下的指纹,自动进行克隆恢复,然后通过各种指纹设备的验证。

为了更好的转移指纹设备的安全性研究,腾讯安全宣武实验室研究员陈郁邀请观众在极客2019现场共同完成研究项目的演示。观众触摸玻璃杯子后,陈郁首先拿出手机拍摄观众留在杯子上的指纹,然后在手机上调试后“克隆”出一个全新的指纹。使用这种“新指纹”,他通过了观众事先记录指纹的3部手机和2部考勤机的指纹识别,并使用电容、光学和超声波破解了指纹验证设备。

(腾讯证券宣武实验室成功完成比赛现场的挑战)

陈郁向大家解释了示范项目背后的技术原理。事实上,这不是魔术,而是屏幕图像采集技术和指纹雕刻技术。首先,利用特殊的拍摄方法提取手机、门锁、考勤机等物品上的指纹,通过指纹破解APP分析形成有效的指纹信息。然后,用雕刻机克隆手指模型。最后,克隆的手指模型可以用于各种验证。值得一提的是,这一挑战也是世界上首次成功突破超声波屏幕下的指纹识别技术。

示范项目似乎已经实现了指纹的“复制”和“粘贴”,但这背后是宣武实验室开发的指纹破解APP和指纹采集框架,它不仅可以在只有小面积指纹残留阴影的情况下提取重复的有效指纹,还首次将雕刻技术应用于系统破解。

但是,用户不需要太惊慌。虽然该技术可以自动破解各种类型的指纹识别,但用户只需在日常使用中养成及时擦拭指纹的习惯,就可以大大提高指纹设备的安全性。

但是对于指纹设备,这项研究反映了其潜在的安全隐患。事实上,腾讯证券宣武实验室在带来这一自动指纹装置破解研究之前,是第一个多次披露生物活体检测安全性研究的实验室。腾讯安全宣武实验室人脸识别研究课题被今年世界顶级黑客黑帽(Black Hat)选中。在本课题中,介绍了可以通过软件无感知地注入生物特征,绕过基于攻击媒介的实时检测,并且可以通过人脸识别凝视检测(Face ID gaze detection)来检测特定场景中的设计缺陷,这可以在用户闭上眼睛的状态下解锁手机。

在去年的极客网上,腾讯证券宣武实验室披露了安卓手机常用的离屏指纹技术的“残留重用”漏洞,这将影响几乎所有不分青红皂白使用离屏指纹技术的设备。利用此漏洞,攻击者可以在一秒钟内解锁手机。

毫无疑问,指纹解锁和人脸解锁的安全问题不是孤立的案例,而是工业互联网时代所有上下游产业链需要共同面对和解决的潜在安全风险。腾讯安防宣武实验室在不断探索前沿技术的同时,也致力于开放产业链的上下游联动,建立良好的协同修复机制,帮助厂商及时修复安全漏洞,共同推动行业安全问题的解决。

陈郁,腾讯证券宣武实验室研究员,也重申了腾讯证券在现场进行安全研究的初衷。未来,腾讯安全将继续深化漏洞研究

热门浏览
热门排行榜
热门标签
日期归档