2013年9月26日 星期四

iPhone 5S指紋識別的破解毫無挑戰!






iPhone 5s正式開賣不過三天,其主打的指紋識別功能Touch ID就慘遭破解——德國知名黑客Starbug自己製作了一套指紋,成功騙過了Touch ID系統。在許多人看來,破解Touch ID應該需要專業的知識和設備,其過程一定非常複雜。

但Starbug卻表示破解Touch ID“毫無挑戰”,他甚至感到“非常失望”:我只花了30個小時就成功破解了Touch ID。我大概花了半個小時來做準備工作,而花費了更多的時間去尋找傳感器的技術規格信息。我非常失望,因為原本以為需要花費1到2個星期才能破解它。這次破解毫無挑戰。

下面的視頻介紹了製作“偽裝”指紋騙過Touch ID的詳細步驟,它揭示了一個殘酷的現實——遺留在任何地方的指紋,都可能被用來繞過Touch ID。

只需一些並不昂貴的辦公設備如圖像掃瞄儀、激光打印機、蝕刻印刷電路板套件等,你甚至不必具備過多的專業知識,在家裡就可以破解Touch ID,而且整個製作過程只需花費數小時。

Touch ID對 Apple 的意義顯然不是解鎖手機那麼簡單,或許也並不局限於支付方面,其有望搭建整個iOS甚至是Mac OS生態的一切身份驗證堡壘。雖然 Apple 一再強調Touch ID的安全性,但外界的質疑從未間斷,Starbug更是一針見血地指出,“Touch ID只是增加了便利性而不是安全性。”

我實際上並沒有找到Touch ID傳感器如何工作的過多細節,應該不是子表皮掃瞄(sub-epidermal scanning),因為掃瞄組織同人體皮膚上層太相似。最大的可能是, Apple 選擇了任意閾值(arbitrary threshold),這樣才能確保Touch ID可靠而有效。簡單的說, Apple 考慮可用性和方便性要多於安全性。指紋傳感器總是可以被打敗,只要偽造的材料同人體組織的特點足夠接近,並且這個高解像度指紋的掃瞄是有效的。

Starbug向arstechnica透露了破解Touch ID的初衷:“就像過去10年一樣,我想證明沒有任何指紋識別系統是不可攻破的,但主要還是我的興趣使然。”

Starbug表示自己並不是為了批評 Apple ,“你唯一可以批評他們的是,把Touch ID標榜成安全可靠的,即便他們知道這套系統有被攻破的可能。”在Starbug看來,“利用生物識別技術來進行身份驗證是存在問題的。”

智能手機安全公司Lookout的安全專家Marc Rogers參考上述方法親身破解了Touch ID,不過在他看來,雖然Touch ID可被破解,但該系統依然很棒:“破解Touch ID依賴技術、現有學術研究和耐心的結合。”他認為Touch ID極大增加了便利性,“智能手機用戶不喜歡使用密碼的主要原因就是因為太麻煩了,而Touch ID輕鬆解決了便利性問題。雖然生物識別安全並不完美,但本就沒有完美的安全。”

對於普通用戶來說,參照上面的視頻​​攻破Touch ID似乎並沒有太大吸引力,想要查看老公的iPhone顯然有更多簡單快意的方法。但一個嚴重的問題是,誰會放心地用並不安全的Touch ID 來完成資金流轉呢?指紋的一大特點便是無處不遺留,從這點來說,Touch ID帶給人的心理安全感可能還不如自己私藏的密碼本。

那麼,有比生物識別更安全的身份驗證辦法嗎? Starbug的答案是——密碼。

密碼是沒有任何問題的,只要足夠長並且足夠複雜。實際上,長而複雜的密碼也可以配置在iOS設備上,提供足夠的安全級別。問題是如何把握用戶便利性和安全之間的平衡。誰也不想解鎖手機時需要輸入20個字符的密碼。另一方面,如今智能手機包含了大量個人資料,用戶會認為即使四位數PIN也是不夠的。

Apple 一向是拿捏“平衡”的高手,它會為了提高2013款MacBook Air的續航能力而寧願犧牲一點處理器頻率,從而帶給用戶更好的整體體驗。

所以,Touch ID也是 Apple 的一款“平衡之作”?



.iPhone 5S指紋識別的破解毫無挑戰!
http://digital1010.blogspot.com/2013/09/iphone-5s_26.html