雖然大家都認為兩個人不可能會有完全相同的指紋,但紐約大學坦登工程學院(New York University Tandon School of Engineering;NYU Tandon)與密西根大學(Michigan State University)的研究人員現,只要指紋有一部份的相似性,對於智慧型手機與其他電子產品所使用的安全辨識系統來說就足以開機解鎖了;這種以指紋為基礎的系統安全性比想像中更脆弱。

這種安全漏洞在於以指紋為基礎的認證系統搭配了無法擷取使用者完整指紋的小型感測器。取而代之的是,他們能掃描並儲存部份指紋,而且許多智慧型手機還讓使用者可在其認證系統中註冊多個不同的手指指紋。

當使用者的指紋符合所儲存的任一部份指紋時,即可確認身份。研究人員假設,不同人的部份指紋之間可能存在某種相似性,足以創造出所謂的「萬能指紋」(MasterPrint)。

20170417_Fingerprint_NT01P1

紐約大學Tandon電腦科學與工程系教授Nasir Memon解釋,對於試圖以常用密碼(如1234)破解PIN密碼的駭客而言,MasterPrint的概念存在著若干的相似性。「密碼1234大約有4%的機會是正確的,如果你只是隨猜測的話,這樣的機率已經是相當高了。」

研究團隊著手調查是否能找到足以顯示類似漏洞的MasterPrint。實際上,他們發現人類指紋圖像的某些屬性足以引起安全性問題。

紐約大學坦登工程學院博士後研究員Aditi Roy與密西根州立大學電腦科學與工程系教授Arun Ross,使用了8,200個部份指紋進行分析。研究人員使用商業指紋驗證軟體後發現,在每一組隨機抽取的800個部份指紋中,就有92個可能的MasterPrints。(研究人員對MasterPrints的定義是在每一組隨機樣本中至少有4%的指紋配對成功)

然而,他們發現,在800個完整指紋中隨機抽樣,只有一個完整的MasterPrints指紋。Memon說:「這一點也不足為奇,僅使用部份指紋比完整指紋更可能配對錯誤,但大多數的裝置卻僅依靠部份指紋進行辨識。」

研究團隊分析了從真實指紋影像中剔除的MasterPrint屬性,然後打造出一種可創造合成部份MasterPrints的演算法。根據實驗顯示,合成部份指紋具有更廣泛配對的潛力,使其更可能「騙過」生物辨識安全系統。

研究人員利用其數位模擬的MasterPrints,成功地配對26%至65%的用戶,具體取決於每個用戶儲存的部份指紋數以及假定每次身份驗證每次最多五次的指紋數。智慧型手機為每個用戶儲存的部份指紋越多,系統就越脆弱。

Roy強調,這項研究是在模擬的環境中完成的。她強調,研究人員改善了創造合成的指紋與技術,以便將數位MasterPrints移植到實體物件,騙過造成重十安全隱憂的裝置。

MasterPrint的配對能力高,對於設計可信賴的指紋認證系統帶來了挑戰,同時也增強了多種證機制的需求。她說,這項研究結果可為未來的設計提供參考。

Ross指出:「隨著指紋感測器的尺寸越來越小,感測器的解析度率必須大幅提高,才能擷取到更多的指紋特徵。如果無法提高解析度,使用者的指紋獨特性將不可避免地會大打折扣。我們的研究人員在這項研究中進行的實證分析顯然證實了這一點。」

Memon指出,研究團隊的研究結果是根據指紋特徵點(minutiae)的配對,任何供應商可能選擇採用或不採用。然而,只要有部份指紋用於解鎖手機或其他裝置,以及儲存每個指紋的多個部份特徵,那麼找到MasterPrints的機率也將明顯增加。

美國國家科學基金會(NSF)運算與通訊基全會計劃主任Nina Amla說:「NSF在網路安全研究方面的投資,建構了保護我們於網路空間中所需要的基礎知識。就像NSF贊助的其他研究計劃一樣,這項研究有助於我們在日常生活的技術中找到如何辨識安全漏洞的方法,而研究指紋認證系統的弱點,將有助於推動在安全方面的持續進展,為使用者確保更安全可靠的保護。」

計算和通信基金會計劃主任Nina Amla表示:“NSF對網絡安全研究的投資構建了保護我們網絡空間所需的基礎知識庫。 “像其他NSF資助的研究一樣,幫助識別日常技術(例如汽車或醫療設備)的漏洞,調查基於指紋的認證系統的漏洞可以使安全性不斷提升,確保更加可靠的保護用戶。

編譯:Susan Hong

(參考原文:Fingerprint security on smartphones more vulnerable than thought,by Jean-Pierre Joosting)