ADVERTISEMENT
「我只花了 30 個小時就成功破解了 Touch ID。我大概花了半個小時來做準備工作,而花費了更多的時間去尋找感測器的技術規格資訊。我非常失望,因為原本以為需要花費 1 到 2 個星期才能破解它。這次破解毫無挑戰。」
iPhone 5s 正式開賣不過三天,其主打的指紋識別功能 Touch ID 就慘遭破解--德國知名駭客 Starbug 自己製作了一套指紋,成功騙過了 Touch ID 系統。在許多人看來,破解 Touch ID 應該需要專業的知識和設備,其過程一定非常複雜。
但 Starbug 卻表示破解 Touch ID 「毫無挑戰」,他甚至感到「非常失望」:
ADVERTISEMENT
我只花了 30 個小時就成功破解了 Touch ID。我大概花了半個小時來做準備工作,而花費了更多的時間去尋找感測器的技術規格資訊。我非常失望,因為原本以為需要花費 1 到 2 個星期才能破解它。這次破解毫無挑戰。
下面的影片介紹了製作「偽裝」指紋騙過 Touch ID 的詳細步驟,它揭示了一個殘酷的現實——遺留在任何地方的指紋,都可能被用來繞過 Touch ID。
只需一些並不昂貴的辦公設備如圖像掃描器、雷射印表機、蝕刻印刷電路板套件等,你甚至不必具備過多的專業知識,在家裡就可以破解 Touch ID,而且整個製作過程只需花費數小時。
ADVERTISEMENT
Touch ID 對蘋果的意義顯然不是解鎖手機那麼簡單,或許也並不局限於支付方面,其有望搭建整個 iOS 甚至是 Mac OS 生態的一切身份驗證堡壘。雖然蘋果一再強調 Touch ID 的安全性,但外界的質疑從未間斷,Starbug 更是一針見血地指出,「Touch ID 只是增加了便利性而不是安全性。」
我實際上並沒有找到 Touch ID 感應器如何運作的太多細節,應該不是子表皮掃描(sub-epidermal scanning),因為掃描組織同人體皮膚上層太相似。最大的可能是,蘋果選擇了任意閾值(arbitrary threshold),這樣才能確保 Touch ID 可靠而有效。簡單的說,蘋果考慮可用性和方便性要多於安全性。指紋感測器總是可以被打敗,只要偽造的材料同人體組織的特點足夠接近,並且這個高解析度指紋的掃描是有效的。
Starbug 向 透露了他為什麼想破解 Touch ID :「就像過去 10 年一樣,我想證明沒有任何指紋識別系統是不可攻破的,但主要還是我的興趣使然。」
Starbug 表示自己並不是為了批評蘋果,「你唯一可以批評他們的是,把 Touch ID 標榜成安全可靠的,即便他們知道這套系統有被攻破的可能。」在 Starbug 看來,「利用生物識別技術來進行身份驗證是存在問題的。」
ADVERTISEMENT
智慧型手機安全公司 Lookout 的安全專家 Marc Rogers 參考上述方法親身破解了 Touch ID,不過在他看來,雖然 Touch ID 可被破解,但該系統依然很棒:「破解 Touch ID 依賴技術、現有學術研究和耐心的結合。」他認為 Touch ID 極大增加了便利性,「智慧型手機使用者不喜歡使用密碼的主要原因就是因為太麻煩了,而 Touch ID 輕鬆解決了便利性問題。雖然生物識別安全並不完美,但本就沒有完美的安全。」
對於普通用戶來說,參照上面的影片攻破 Touch ID 似乎並沒有太大吸引力,想要查看老公的 iPhone 顯然有更多簡單快意的方法。但一個嚴重的問題是,誰會放心地用並不安全的 Touch ID 來完成資金流轉呢?指紋的一大特點便是無處不遺留,從這點來說,Touch ID 帶給人的心理安全感可能還不如自己私藏的密碼本。
那麼,有比生物識別更安全的身份驗證辦法嗎?Starbug 的答案是--密碼。
ADVERTISEMENT
密碼是沒有任何問題的,只要足夠長並且足夠複雜。實際上,長而複雜的密碼也可以使用在 iOS 設備上,提供足夠的安全等級。問題是如何把握使用者便利性和安全之間的平衡。誰也不想解鎖手機時需要輸入 20 個字元的密碼。另一方面,現在的智慧型手機包含了大量個人資料,用戶會認為即使4位數 PIN 也是不夠的。
蘋果一向是拿捏「平衡」的高手,它會為了提高 2013 款 MacBook Air 的續航能力而寧願犧牲一點處理器頻率,從而帶給使用者更好的整體體驗。
所以,Touch ID 也是蘋果的一款「平衡之作」?
延伸閱讀:
ADVERTISEMENT