韓敬嫻

理論上可行，實(shí)際操作很難

9月底，上海信息安全行業(yè)協(xié)會(huì)副主任張威在2019年國(guó)家網(wǎng)絡(luò)安全宣傳周全民體驗(yàn)日活動(dòng)上向公眾提示了剪刀手照片泄露指紋信息的風(fēng)險(xiǎn)—他表示，1.5米內(nèi)拍攝的剪刀手照片，基本上能100%還原出被攝者的指紋；在1.5米～3米的距離內(nèi)拍攝的照片，能還原出50%的指紋。

對(duì)此，圖正科技董事長(zhǎng)、創(chuàng)始人劉君認(rèn)為，剪刀手照片泄露指紋信息在理論上可行，但操作起來很難。實(shí)際操作很難的一個(gè)原因就是：技術(shù)門檻。他指出，目前的指紋識(shí)別存在一個(gè)等比例變化的問題，這就意味著從現(xiàn)場(chǎng)取到的指紋必須按照1：1比例復(fù)制出來，這本身需要專業(yè)的提取技術(shù)、提取設(shè)備以及復(fù)制設(shè)備等，而如果剪刀手照片經(jīng)過處理之后還要考慮形變的問題。

一位生物識(shí)別領(lǐng)域?qū)＜抑毖裕@么高門檻的犯罪活動(dòng)一般針對(duì)的是價(jià)值比較高的目標(biāo)，普通人被盜的概率會(huì)小一些。但技術(shù)門檻高并不意味著絕對(duì)安全。

“大家在設(shè)計(jì)這些指紋識(shí)別產(chǎn)品系統(tǒng)的時(shí)候，只是把它設(shè)計(jì)在一個(gè)安全維度上就可以了，讓不法分子攻擊時(shí)候的攻擊時(shí)間成本和攻擊難度到一定的程度就可以了，安全是一個(gè)沒有邊界的問題?！敝袊?guó)科學(xué)院院士鄭建華曾對(duì)媒體表示，目前指紋識(shí)別安全鏈條還不夠完整。

去年，網(wǎng)上一篇《一塊橘子皮就能秒開你的手機(jī)指紋鎖，還能轉(zhuǎn)賬付款》的文章及視頻就曾引起了網(wǎng)友關(guān)注。一位用戶由于手機(jī)摔到地上，導(dǎo)致指紋觸摸鍵出現(xiàn)了裂紋，之后其他人居然都可以用指紋解鎖他的手機(jī)，手機(jī)支付什么也都可以了。

后來經(jīng)過蘇州一家科技公司技術(shù)人員的試驗(yàn)發(fā)現(xiàn)，破解指紋驗(yàn)證的關(guān)鍵在于指紋觸摸鍵上的圖案。事實(shí)上，指紋傳感器接收到的信息包含指紋貼上的導(dǎo)電涂層，并不完全是機(jī)主手指的指紋。在進(jìn)行指紋比對(duì)時(shí)，只要部分信息相同就能通過驗(yàn)證。

只要指紋觸摸鍵上的圖案是擋在手指前面，軟件系統(tǒng)就會(huì)收到已經(jīng)有了這些圖案成分的圖，“它收了這個(gè)圖，認(rèn)證也是個(gè)圖”，而裂痕本身會(huì)在傳感器上形成一些圖案，這名用戶將指紋覆蓋在裂痕上成功解鎖開機(jī)幾次后，別人便都可以隨意開機(jī)了。

一位指紋識(shí)別公司的技術(shù)人員告訴筆者，利用指紋識(shí)別系統(tǒng)上的軟件漏洞進(jìn)行攻擊是當(dāng)前指紋識(shí)別比較有效的一種方式。

劉君指出，目前行業(yè)內(nèi)提高生物識(shí)別安全的路線有兩種，一種是增加獲取生物信息的難度，比如研發(fā)骨骼識(shí)別、靜脈識(shí)別等產(chǎn)品，這些生物特征信息都不在表面，通過正常的拍個(gè)照片，杯子殘留等是無法獲取的；另外一種則是增加偽造難度，比如加入活體指紋檢測(cè)技術(shù)或者增加3D人臉識(shí)別的復(fù)制難度等。

除了產(chǎn)品設(shè)計(jì)本身的安全度提高之外，人們平時(shí)該如何避免隱私泄露呢？

除了不向陌生人提供自己的指紋、不在不可信的設(shè)備上錄入自己的指紋，不在網(wǎng)上亂發(fā)帶有自己指紋信息的照片之外，劉君還提出一個(gè)建議，在用完指紋鎖或者手機(jī)之后，用手在傳感器表面上擦一下，通過這個(gè)動(dòng)作，指紋圖像就會(huì)完全模糊化了，也就沒有了任何提取價(jià)值。

不只剪刀手

這并不是生物識(shí)別技術(shù)首次受到安全質(zhì)疑。

隨著計(jì)算機(jī)、光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計(jì)學(xué)原理等技術(shù)的發(fā)展，利用人體固有的生理特性，如指紋、人臉和虹膜等，以及行為特征，如筆跡、聲音和步態(tài)等來進(jìn)行個(gè)人身份鑒定的現(xiàn)象越來越常見。

其中應(yīng)用最為廣泛的是指紋識(shí)別、人臉識(shí)別。指紋識(shí)別并不新鮮，多年前指紋識(shí)別就應(yīng)用在考勤、門禁和保險(xiǎn)箱柜等領(lǐng)域，隨著iPhone 5s的推出，指紋識(shí)別才迎來了一個(gè)跳躍性發(fā)展的時(shí)期。

最初的手機(jī)安全鎖解決方案是設(shè)置開機(jī)密碼，一般是4位數(shù)或者是6位數(shù)的密碼，之后流行的是圖案解鎖，相比開機(jī)密碼，圖案解鎖破解的概率更高。iPhone 5s之后，指紋解鎖逐漸成為各類手機(jī)的標(biāo)配。之后指紋識(shí)別場(chǎng)景進(jìn)一步挖掘，已經(jīng)廣泛應(yīng)用于各類識(shí)別身份的渠道，例如指紋支付和指紋門鎖等領(lǐng)域。

不過，就在2019年5月，中國(guó)消費(fèi)者協(xié)會(huì)等對(duì)29款主流智能門鎖商品開展比較試驗(yàn)時(shí)發(fā)現(xiàn)，48.3%的樣品密碼開啟存在安全風(fēng)險(xiǎn)，50%的樣品指紋識(shí)別開啟存在安全風(fēng)險(xiǎn)，85.7%的樣品信息識(shí)別卡開啟存在安全風(fēng)險(xiǎn)。

從2017年開始，生物識(shí)別的風(fēng)向標(biāo)轉(zhuǎn)向了人臉識(shí)別：手機(jī)刷臉解鎖、刷臉支付；火車站、機(jī)場(chǎng)“刷臉”檢票；銀行開戶時(shí)需要人臉識(shí)別確認(rèn)，現(xiàn)在還愈發(fā)向娛樂化發(fā)展，比如此前刷屏的“換臉”APP—ZAO。

ZAO在APP協(xié)議中要求獲得用戶人臉照片“完全免費(fèi)、不可撤銷、永久、可轉(zhuǎn)授權(quán)和可再許可的權(quán)利”，這意味著用戶上傳到ZAO里面的照片，ZAO除了可免費(fèi)使用并修改你的肖像，還可以將它任意授權(quán)給自己想授權(quán)的第三方，當(dāng)作信息進(jìn)行販賣，而且是永久的、不可撤銷的。

倘若這一數(shù)據(jù)被居心叵測(cè)的人利用，極有可能成為新的犯罪工具，特別是對(duì)于騙術(shù)識(shí)別能力差的老人，很容易就被犯罪分子偽裝的“子女”和“親人”騙走錢財(cái)。

目前，許多高校宣傳的"刷臉時(shí)代"：門禁刷卡、食堂“刷臉”和人臉識(shí)別考勤等也受到了質(zhì)疑。技術(shù)帶來效率，帶來更多的娛樂方式無可厚非，但前提是需要界定什么數(shù)據(jù)是隱私？什么數(shù)據(jù)可開放？

無論是指紋還是人臉等生物識(shí)別數(shù)據(jù)一旦被泄露，后果不可想象。畢竟，每一個(gè)生物識(shí)別特征的背后都是一個(gè)人現(xiàn)實(shí)身份的確認(rèn)。