所以你認(rèn)為你可以用指紋保護(hù)你的手機(jī)

據(jù)信，沒有兩個人有相同的指紋，但紐約大學(xué)Tandon工程學(xué)院和密歇根州立大學(xué)工程學(xué)院的研究人員發(fā)現(xiàn)，印刷品之間的部分相似性已經(jīng)足夠普遍，以至于手機(jī)中使用的基于指紋的安全系統(tǒng)和其他電子設(shè)備可能比以前想象的更脆弱。

漏洞在于基于指紋的身份驗證系統(tǒng)具有無法捕獲用戶完整指紋的小型傳感器。相反，它們掃描并存儲部分指紋，并且許多電話允許用戶在其認(rèn)證系統(tǒng)中注冊幾個不同的手指。當(dāng)用戶的指紋與任何一個保存的部分打印匹配時，將確認(rèn)身份。研究人員假設(shè)不同人的部分版畫之間可能存在足夠的相似之處，人們可以創(chuàng)建“MasterPrint”。

紐約大學(xué)Tandon計算機(jī)科學(xué)與工程教授，研究小組負(fù)責(zé)人Nasir Memon解釋說，MasterPrint概念與試圖使用常用密碼(例如1234)破解基于PIN的系統(tǒng)的黑客有一些相似之處。 4%的時間，密碼1234將是正確的，這只是你猜測時相對較高的概率，“Memon說。研究小組開始研究是否能找到可以揭示類似漏洞的MasterPrint。實際上，他們發(fā)現(xiàn)人類指紋模式中的某些屬性足以引發(fā)安全問題。

Memon和他的同事，紐約大學(xué)Tandon博士后研究員Aditi Roy和密歇根州立大學(xué)計算機(jī)科學(xué)與工程教授Arun Ross，使用8,200個部分指紋進(jìn)行了分析。使用商業(yè)指紋驗證軟件，他們發(fā)現(xiàn)每個隨機(jī)抽樣的800份部分打印批次平均有92個潛在的MasterPrints。(他們將MasterPrint定義為與隨機(jī)抽樣批次中至少4%的其他印刷品匹配的版本。)

智能手機(jī)通常使用小型傳感器捕獲完整指紋的有限部分。在注冊期間為同一手指捕獲多個部分指紋。該圖顯示了從完整指紋(a)中提取的一組部分指紋(b)。圖片來源：紐約大學(xué)Tandon工程學(xué)院

然而，他們發(fā)現(xiàn)800張全印花樣本中只有一張全指紋MasterPrint。“毫不奇怪，錯誤地匹配部分印刷品的可能性大于完整版印刷品，大多數(shù)設(shè)備僅依靠部分印刷品進(jìn)行識別，”Memon說。

團(tuán)隊分析了從真實指紋圖像中剔除的MasterPrints的屬性，然后構(gòu)建了一個用于創(chuàng)建合成部分MasterPrints的算法。實驗表明，合成部分打印具有更廣泛的匹配潛力，使得它們比真正的部分指紋更容易欺騙生物識別安全系統(tǒng)。通過數(shù)字模擬的MasterPrints，團(tuán)隊報告成功匹配了26%到65%的用戶，具體取決于為每個用戶存儲了多少部分指紋印象，并假設(shè)每次認(rèn)證最多嘗試五次。給定智能手機(jī)為每個用戶存儲的部分指紋越多，它就越容易受到攻擊。

Roy強(qiáng)調(diào)他們的工作是在模擬環(huán)境中完成的。然而，她指出，為了欺騙設(shè)備而創(chuàng)建合成打印件和將數(shù)字MasterPrints轉(zhuǎn)移到物理工件的技術(shù)的改進(jìn)帶來了重大的安全問題。MasterPrints的高匹配能力指出了設(shè)計值得信賴的基于指紋的認(rèn)證系統(tǒng)的挑戰(zhàn)，并強(qiáng)化了對多因素認(rèn)證方案的需求。她說這項工作可能會告知未來的設(shè)計。

“隨著指紋傳感器尺寸的縮小，傳感器的分辨率必須得到顯著提高，才能捕獲額外的指紋特征，”Ross說。“如果解決方案沒有得到改善，用戶指紋的獨特性將不可避免地受到損害。本研究中進(jìn)行的實證分析清楚地證實了這一點。”

Memon指出，團(tuán)隊研究的結(jié)果基于基于細(xì)節(jié)的匹配，任何特定供應(yīng)商可能會或可能不會使用。然而，只要部分指紋用于解鎖設(shè)備并且每個手指存儲多個部分印象，找到MasterPrints的概率就會顯著增加，他說。

“科學(xué)基金會在網(wǎng)絡(luò)安全研究方面的投資建立了在網(wǎng)絡(luò)空間保護(hù)我們所需的基礎(chǔ)知識庫，”科學(xué)基金會計算與通信基金會項目主任Nina Amla說。“就像其他NSF資助的研究已經(jīng)幫助識別汽車或醫(yī)療設(shè)備等日常技術(shù)中的漏洞一樣，調(diào)查基于指紋的認(rèn)證系統(tǒng)的漏洞可以推動安全性的不斷進(jìn)步，確保為用戶提供更可靠的保護(hù)。”