危险的“剪刀手”,让渡安全还是让渡隐私?
2019-11-05韩敬娴
韩敬娴
理论上可行,实际操作很难
9月底,上海信息安全行业协会副主任张威在2019年国家网络安全宣传周全民体验日活动上向公众提示了剪刀手照片泄露指纹信息的风险—他表示,1.5米内拍摄的剪刀手照片,基本上能100%还原出被摄者的指纹;在1.5米~3米的距离内拍摄的照片,能还原出50%的指纹。
对此,图正科技董事长、创始人刘君认为,剪刀手照片泄露指纹信息在理论上可行,但操作起来很难。实际操作很难的一个原因就是:技术门槛。他指出,目前的指纹识别存在一个等比例变化的问题,这就意味着从现场取到的指纹必须按照1:1比例复制出来,这本身需要专业的提取技术、提取设备以及复制设备等,而如果剪刀手照片经过处理之后还要考虑形变的问题。
一位生物识别领域专家直言,这么高门槛的犯罪活动一般针对的是价值比较高的目标,普通人被盗的概率会小一些。但技术门槛高并不意味着绝对安全。
“大家在设计这些指纹识别产品系统的时候,只是把它设计在一个安全维度上就可以了,让不法分子攻击时候的攻击时间成本和攻击难度到一定的程度就可以了,安全是一个没有边界的问题。”中国科学院院士郑建华曾对媒体表示,目前指纹识别安全链条还不够完整。
去年,网上一篇《一块橘子皮就能秒开你的手机指纹锁,还能转账付款》的文章及视频就曾引起了网友关注。一位用户由于手机摔到地上,导致指纹触摸键出现了裂纹,之后其他人居然都可以用指纹解锁他的手机,手机支付什么也都可以了。
后来经过苏州一家科技公司技术人员的试验发现,破解指纹验证的关键在于指纹触摸键上的图案。事实上,指纹传感器接收到的信息包含指纹贴上的导电涂层,并不完全是机主手指的指纹。在进行指纹比对时,只要部分信息相同就能通过验证。
只要指纹触摸键上的图案是挡在手指前面,软件系统就会收到已经有了这些图案成分的图,“它收了这个图,认证也是个图”,而裂痕本身会在传感器上形成一些图案,这名用户将指纹覆蓋在裂痕上成功解锁开机几次后,别人便都可以随意开机了。
一位指纹识别公司的技术人员告诉笔者,利用指纹识别系统上的软件漏洞进行攻击是当前指纹识别比较有效的一种方式。
刘君指出,目前行业内提高生物识别安全的路线有两种,一种是增加获取生物信息的难度,比如研发骨骼识别、静脉识别等产品,这些生物特征信息都不在表面,通过正常的拍个照片,杯子残留等是无法获取的;另外一种则是增加伪造难度,比如加入活体指纹检测技术或者增加3D人脸识别的复制难度等。
除了产品设计本身的安全度提高之外,人们平时该如何避免隐私泄露呢?
除了不向陌生人提供自己的指纹、不在不可信的设备上录入自己的指纹,不在网上乱发带有自己指纹信息的照片之外,刘君还提出一个建议,在用完指纹锁或者手机之后,用手在传感器表面上擦一下,通过这个动作,指纹图像就会完全模糊化了,也就没有了任何提取价值。
不只剪刀手
这并不是生物识别技术首次受到安全质疑。
随着计算机、光学、声学、生物传感器和生物统计学原理等技术的发展,利用人体固有的生理特性,如指纹、人脸和虹膜等,以及行为特征,如笔迹、声音和步态等来进行个人身份鉴定的现象越来越常见。
其中应用最为广泛的是指纹识别、人脸识别。指纹识别并不新鲜,多年前指纹识别就应用在考勤、门禁和保险箱柜等领域,随着iPhone 5s的推出,指纹识别才迎来了一个跳跃性发展的时期。
最初的手机安全锁解决方案是设置开机密码,一般是4位数或者是6位数的密码,之后流行的是图案解锁,相比开机密码,图案解锁破解的概率更高。iPhone 5s之后,指纹解锁逐渐成为各类手机的标配。之后指纹识别场景进一步挖掘,已经广泛应用于各类识别身份的渠道,例如指纹支付和指纹门锁等领域。
不过,就在2019年5月,中国消费者协会等对29款主流智能门锁商品开展比较试验时发现,48.3%的样品密码开启存在安全风险,50%的样品指纹识别开启存在安全风险,85.7%的样品信息识别卡开启存在安全风险。
从2017年开始,生物识别的风向标转向了人脸识别:手机刷脸解锁、刷脸支付;火车站、机场“刷脸”检票;银行开户时需要人脸识别确认,现在还愈发向娱乐化发展,比如此前刷屏的“换脸”APP—ZAO。
ZAO在APP协议中要求获得用户人脸照片“完全免费、不可撤销、永久、可转授权和可再许可的权利”,这意味着用户上传到ZAO里面的照片,ZAO除了可免费使用并修改你的肖像,还可以将它任意授权给自己想授权的第三方,当作信息进行贩卖,而且是永久的、不可撤销的。
倘若这一数据被居心叵测的人利用,极有可能成为新的犯罪工具,特别是对于骗术识别能力差的老人,很容易就被犯罪分子伪装的“子女”和“亲人”骗走钱财。
目前,许多高校宣传的"刷脸时代":门禁刷卡、食堂“刷脸”和人脸识别考勤等也受到了质疑。技术带来效率,带来更多的娱乐方式无可厚非,但前提是需要界定什么数据是隐私?什么数据可开放?
无论是指纹还是人脸等生物识别数据一旦被泄露,后果不可想象。毕竟,每一个生物识别特征的背后都是一个人现实身份的确认。
