“独一无二”的生物识别技术 也隐藏着许多安全隐患

指纹识别、虹膜识别、静脉识别……随着高科技的发展，生物识别技术开始普遍被用作新的生物认证方式，并有代替数字密码的趋势。但是，“独一无二”的生物识别技术，真的没有安全隐患了吗？事实并非如此。

人脸识别被破解早已不是新闻，而以安全著称的Face ID近日也遭到了破解。2019年的美国黑帽大会上，就有研究人员就展示了这一“漏洞”。他们制作了一种特殊的眼镜：镜片上贴上黑色胶带，中间画着白色的点。当他们把眼镜戴在睡着的受害者脸上时，便可以进入他的iPhone，还能通过移动支付应用程序给其他人汇款。这个漏洞来源于苹果的：注视感知功能，这一功能原本是为了进行活体检测。然而，在识别戴眼镜的人时，并不会从眼框区域提取3D信息。为了封堵这个漏洞，研究人员建议生物识别模块的制造商为面部识别装置添加更多身份认证。

比人脸更容易破解的则是指纹识别，早在2017年，日本国家信息学研究所的研究人称，他们仅用中端数码爱相机，就能从个人照片中成功提取指纹，之后还可以使用 3D 打印机轻松创建指纹副本；2018年密歇根州立大学的 Roy等人生成的 DeepMasterPrints 在 1% 的错误匹配率下能够伪造 77% 的主体指纹。

静脉识别是根据静脉血液中脱氧血色素吸收近红外线或人体辐射远红外线的特性来提取特征。由于每个人的静脉分布图具备类似于指纹的唯一性且成年后持久不变的特点，所以它能够唯一确定一个人的身份。不过，德国混沌通信大会上两名黑客却提出了破解之道：首先用单反相机拍摄了目标的手掌照片，然后通过修改照片去除红外滤光之后，从中提取出了目标的静脉布局，然后复制在一只蜡制的手掌上，就成功的通过了扫描仪。

而声纹识别也同样未能逃过被破解的“命运”。在GeekPwn2017国际安全极客大赛上，选手就根据游戏《王者荣耀》里英雄配音者所提供的声音样本，模拟了其声纹特征，合成一段“攻击”语音，对现场提供的四个具有声纹识别功能的设备发起攻击，欺骗并通过了“声纹锁”的验证。

在指纹识别、面部识别、静脉识别、声纹识别相继“沦陷”后，虹膜识别也遭到破解。与想象中不同，获取虹膜的方式十分简单，只要在一个人十米内，用单反长焦镜头结合捕捉红外功能聚焦光束拍摄，就能成功获取虹膜信息。2018 年，百度安全实验室（X-lab）研究员小灰灰就成功破解了虹膜识别，并给出了复制虹膜的方法。而且，即便有硬件在虹膜识别过程中加入了“活体检测”，譬如眼球微动、瞳孔缩放，只需抖动打印虹膜，或平稳拉进拉远，也能轻易绕过，通过认证。

结语：其实梳理一番发现，还真没一种生物识别可以保证万无一失。不过，尽管单一一种识别方式可以轻易破解，但是把这些方法融合起来，却大大提高了破解成本。当然，融合的方式也需要继续探索，这并不是简单的叠加。