用隱形眼鏡加上一張照片,德國研究室低成本破解了Galaxy S8 的虹膜辨識

用隱形眼鏡加上一張照片,德國研究室低成本破解了Galaxy S8 的虹膜辨識

德國組織 Chaos Computer Club(CCC)近日發表了一項破解成果,只要透過數位相機拍攝使用者眼部特寫,再透過雷射印表機輸出照片,即有可能破解 Samsung 年度旗艦 Galaxy S8 的虹膜辨識功能。

Samsung Galaxy S8 不僅是三星在 2017 年力推的最新旗艦,也被視為三星在 Note 7 災難事件後力求反攻的灘頭堡,其中由 Princeton Identity Inc. 所提供生物識別功能也成為 S8 的一大特色。實際上三星在爭議不斷的 Note 7 身上就曾搭載了虹膜辨識功能,但嚴格說起來,S8 應該算是三星目前市面上唯一且第一款搭載虹膜辨識的手機。

來自德國的 Chaos Computer Club(簡稱 CCC)之前曾經破解過 iPhone 5S 所搭載的 Touch ID 指紋解鎖功能,如果你有印象的話,他們是利用手指印在酒杯上的指紋成功複製出一個假指紋薄膜,再用這個指紋薄膜破解 iPhone 5S 的 Touch ID 功能。換言之,只要具備此技術並成功複製出假指紋,任何人都有機會可以破解 iPhone 5S 的 Touch ID 指紋辨識功能。

實際上,破解 Samsung Galaxy S8 虹膜辨識功能的方法卻更加簡單,它們僅僅使用了一台便宜的 Sony 數位相機,拍攝下使用者臉部特寫,再將虹膜部分擷取出來,而為了讓虹膜細節更清楚,他們微調了圖檔的亮度和對比度,最後再加上一片隱形眼鏡模擬眼球的質感,如此就成功的破解了 S8 的虹膜辨識功能。

1.拍攝使用者臉部特寫(紅外線模式)

用隱形眼鏡加上一張照片,德國研究室低成本破解了Galaxy S8 的虹膜辨識

2.使用印表機輸出照片

用隱形眼鏡加上一張照片,德國研究室低成本破解了Galaxy S8 的虹膜辨識

3.在照片上加上一枚隱形眼鏡

用隱形眼鏡加上一張照片,德國研究室低成本破解了Galaxy S8 的虹膜辨識

4.成功破解(還只用了一顆眼睛)

用隱形眼鏡加上一張照片,德國研究室低成本破解了Galaxy S8 的虹膜辨識

CCC 也將破解過程拍攝成影片,過程相當簡短,只需要一分多鐘就可以看完:

這項實驗的背後意涵是,只要有你眼部的清晰照片,任何人都可以用這種低成本的方式破解並登入你的 S8 手機,甚至拿來解鎖 Samsung Pay。CCC 發言人 Dirk Engling 指出,如果你重視手機上的資料並且綁定了 Samsung Pay,那麼比起最新的虹膜辨識功能,使用傳統的 PIN 碼還比較安全得多。尤其現在社群軟體如此盛行,要在公開照片中找到一張清晰的眼部特寫並不是什麼困難的事情。

但 CCC 同時指出,即使沒有在社群軟體上上傳自己的公開照片也是沒有用的,只要開啟數位相機的夜間模式或是紅外線模式,距離五公尺內用 200mm 焦距的鏡頭拍攝使用者臉部特寫,其輸出的照片就足以騙過虹膜辨識系統。至於使用紅外線模式的原因是,相機在沒有過濾紅外光的狀況下拍攝的虹膜照片會更加清晰。

用隱形眼鏡加上一張照片,德國研究室低成本破解了Galaxy S8 的虹膜辨識

這似乎也為虹膜辨識這項技術帶來了隱憂,據我們所知,虹膜辨識正逐漸被廣泛應用在機場、邊境檢查、手機、其他物聯網設備,甚至是行動錢包、支付裝置等等,既然智慧手機上的虹膜辨識如此容易被破解,那是否意味著這項技術的安全性其存在著隱憂?

最後 CCC 亦諷刺的指出,在這整個破解實驗中最昂貴的器材,就是那台被拿來破解的 Samsung Galaxy S8,言下之意是你不必透過任何高科技,用低成本的方式就可以破解這台最新的 Android 旗艦。

(台灣三星表示,該破解方案的情況特殊,必須同時擁有虹膜照片與用戶的 Galaxy S8。而三星內部也嘗試透過相同方式破解,但難度極高,消費者仍可信賴虹膜辨識的安全性。)

來源:Chaos Computer Club

▶ 訂閱頻道+留言,送你萬元「OVO K1 智慧投影機」

使用 Facebook 留言

Jono Bacon
1.  Jono Bacon (發表於 2017年5月25日 16:57)
這下若是手機有放不想被家人朋友看到的東西就不能用虹膜辨識了, 家人可是很容易接觸到你的手機和擁有你的照片的

發表回應

謹慎發言,尊重彼此。按此展開留言規則