本文讨论移动设备防止被假体指纹破解的方式,并综述破解不同生物认证的方式,以及防伪造技术将如何应对上述威胁的方法。

前言

生物认证比密码和PIN码更便捷,也通过其他技术优势增强了移动设备的安全性。但就像密码和PIN码一样,生物认证实际上也能够被破解。比如照片可以破解面部识别;录音可以破解语音识别;甚至是手指都能被伪造。而这些全都可以在用户无意识、没有主动配合的情况下实现。

随着平价3D打印机的出现,伪造指纹变得更为简单。2013年苹果首次在iPhone® 5S机型采用指纹传感器后,就立即出现了通过假体指纹骗过指纹认证的演示。此外,警方通过使用3D打印指纹的方法,试图解锁已故受害者手机以获取案件线索的案例也不止一起。

现在传感器正在集成防伪造技术抵御伪造的生物特征,比如面部识别系统会要求用户眨眼以证明扫描对象的“活性”。因为指纹是目前移动设备最常见的生物认证方式,本文将重点从两个角度介绍分析假体指纹:(1)黑客破解指纹识别的手法;(2)设备生产商抵御破解的方式。

伪造指纹

像其他用于用户认证的数据一样,指纹图像会受到软解的影响。比如黑客通过某个系统漏洞可以直接访问数据库,因而能获取到用户权限证书;或者是通过恶意软件感染联网PC,骗取设备上传数据。这些数据库之所以成为目标,是因为它们除了包含如密码、PIN码和生物特征图像,通常还储存其他用户信息,比如身份证等其他对黑市有价值的信息。

一个臭名昭著的案件发生在2015年。美国人事管理局数据库被软解,而这一数据库中储存着2150万联邦雇员记录,其中560万记录包含指纹图像,甚至包括了一些卧底特工的指纹。这一事件带来了严重的问题,因为指纹扫描是用在登录安全政府账户和访问政府设施的。而且不像密码和PIN码,在漏洞被检测到之后,指纹是不能更改的。

本地认证

通过根除将访问证书存储在数据库中这类“共享秘密”的需求,可以避免软解。反过来,本地认证可以用来保护设备机密信息的安全。通过密码、PIN码和/或指纹的本地认证通常用于解锁移动设备。而近一两年以来,这种方式也常常被用在登录账户,以及移动支付。

在本地认证的支持下,用户个人凭据将永远不会离开设备,极大控制了潜在的曝光危险。然而本地生物认证方式仍然面临软解生物数据的危险。比如,通过破解设备传感器和认证软件之间的连接,就可以在扫描过程中偷取并替换生物特征数据,这就如同劫持了两个系统通信的“中间人攻击”。

物理破解

本地生物识别认证面临的更大威胁来自物理破解;在本文中,物理破解指制作假体手指。物理破解往往只限于应用在一个目标用户和/或设备,对黑客的吸引力略小。但是设备制造商和用户都必须对这一威胁格外警惕,因为无论是否使用3D打印机,假体指纹都可以通过廉价工具和材料制作。 在用户无意识也不配合的条件下制作一个假体指纹需要以下三个基本步骤:

窃取并以高分辨率扫描指纹;

在塑料层压板或其他适合制作出指纹模具的材料上打印出指纹扫描文件的镜像;

从打印完成的图像中浇铸出手指(模具)

一个合适的指纹显然可以从用户的移动设备上获取。图像可以通过普通打印机扫描(分辨率越高越好)、通过普通PC处理、通过普通打印机打印。用以制作模子的材料也非常普通,比如可以使用木胶、黏土/橡皮泥、矽胶和橡胶。合适的材料也可以用于3D打印机。假体手指还可以涂以石墨粉/喷雾,或者导电墨水/涂料来增加其真实性。(见图1)

002fingerprint20170228

通过这种方式制作的假体手指可以骗过缺乏强大防伪造功能的指纹传感器。如果有用户的配合,比如直接拿用户手指制作模具而不是窃取指纹图像,那么假体的程度甚至可以做的更高。而通常在防伪造技术效果的测试中,使用的就是这种高级假体。

防伪造技术

当下技术的进步为防止软解提供了充足的保护。例如,传输层安全(TLS)协议可以用来为传感器和主机之间的通信加密,进而阻止这一通信被窃听。Match-in-sensor技术提供了更好的保护,因为每一次认证都是完全在传感器内进行的,而且传感器内也安全储存用户录入的指纹,用以实现匹配。

因此,目前防伪造技术的关注重点在于侦测何时使用的是假体指纹。像其他技术一样,在设计中权衡产品的成本、防伪造效果和用户体验是必须要考虑的。对于移动设备的生物识别而言,这涉及到在“误拒绝”(拒绝了用户真实指纹)和“误接受”(接受了一个假指纹)之间达到巧妙平衡。

防欺骗技术是可以达到100%有效性的。也就是说,无论假体指纹质量有多高,都不能通过识别。但这对于移动设备来说,成本会非常昂贵,而且会带来很高的功耗;同时,这种方案会不可避免地提高“误拒绝”(需要重新扫描)的次数,也会导致大量用户失望和不满意的体验。

防伪造技术采用了多种不同技术,但目前只有“活体检测”技术能够由一家独立机构进行基准测试。LivDet(www.LivDet.org)赞助了“活体检测竞赛”(Liveness Detection Competitions),评估应用在指纹和虹膜识别中防伪造技术的有效性。LivDet还将基准测试的数据开放给设备制造商,帮助工程师能够达到理想的“误拒绝”和成功率设计目标。

一个常见的设计目标是将“误拒绝”率(或称“活体拒绝”率)控制在0.35%,并且将“误接受”率控制在约6%。在这个条件下,一个活体手指每300次扫描会出现一次被拒绝的情况,大概每16个假体手指中有一个通过识别。“伪造拒绝”率也是一个常用的概念,也就是“误接受”的对立几率。在这个情况中,“伪造拒绝”率是94%。在一个高度安全的设计中,“误拒绝”率和“误接受”率可能分别为1.6%和2%(98%的欺骗拒绝率);而在一个“经济设计”中,则可能将0.15%和10%(90%的欺骗拒绝率)作为理想目标。

软件防伪造技术V.S.基于硬件的防伪造技术

防伪造技术本身可以应用在软件、硬件,或同时应用于两者。基于软件的方法通常是通过评估样本特征实现,例如评估线条分辨度和是否有毛孔存在。软件的优势在于更简单的安装和更新,包括随着防伪造技术改进的OTA更新,比如随着发现新病毒更新的杀毒软件。基于软件的解决方案也更适合采用机器学习。机器学习目前正在高速发展。

基于硬件的解决方案则对指纹传感器提出了额外需求,比如需要能够感知脉搏、温度和电容。而这些没有一项是能独立通过软件完成的。硬件方案的优势在于具备更强检测手指“活性”的能力,不过劣势在于价格更高,需要消耗更多电量,且会产生延迟(例如,需要感受到多次的心跳)。

003fingerprint20170228

结论

随着人们越来越依赖使用移动设备登录账户和使用移动支付,本地认证也变得更加重要。生物认证的形式也因为更高便捷性和其它优于传统用户名+密码的优势,也日益得到更多用户的喜爱。

Juniper Research认为便捷性、无处不在的智能手机,以及不断发展的近场通信技术(NFC),会让生物识别成为最主要的交易认证方式。因此,Juniper Research预测通过生物认证进行的交易数量,将从2015年底的不足1.3亿次,在2019年前增长到超过50亿次。

生物认证技术发展的同时,用以破解移动设备传感器的伪造生物特征图像的能力也变得更强了。为了减小这种风险,设备制造商现正在将强大的防假体指纹技术整合融入自己的设备中,并且用户也对此类安全设备展现了更多的偏好。

20160630000123