“静脉认证”遭假蜡手破解,黑客仅需一张照片即可入侵
据外媒报道,黑客通过假蜡手找到了一种巧妙的方法来规避静脉认证的安全性。
静脉认证是生物识别安全方面的最新发展之一。超越单纯的指纹,虹膜或面部识别。顾名思义,静脉认证使用扫描手上人的静脉的形状,大小和位置。就像指纹一样,没有两个人可以拥有相同的配置。甚至在双胞胎之间。这就是理论上它应该是一个强大的安全工具的原因。
但现在,这种扫描手上血管的生物安全法已经被破解。Jan Krissler和Julian Albrecht在德国莱比锡的Chaos通信大会黑客会议上展示了他们如何能够绕过日立和富士通制造的扫描仪将皮肤下的静脉雕刻成模型。当计算机认为该模型足够真实时,将会批准认证。目前,黑客声称,这些扫描仪覆盖了大约95%的静脉认证市场。
构建蜡手只需要一张照片和15分钟的制作时间,但需要30天来做准备,包括对超过2,500张的照片进行测试。研究人员表示他们可以使用从最远5米处拍摄的照片。因此,即使没有直接访问此人的身份进行身份验证,资源丰富的黑客也可以设法使用便宜的现成工具。
目前,任何主流智能手机都没有使用静脉认证。该技术更常用于控制对德国信号情报机构等建筑物的访问。在向Heise Online提供的一份声明中,富士通发言人试图淡化黑客攻击的含义,并表示它只能在实验室条件下取得成功,并且它不可能在现实世界中发挥作用。
这不是黑客第一次绕过主要的生物识别安全技术。早在2013年,Krissler就在德国推出了绕过Apple的Touch ID,第二年他建立了德国国防部长的指纹模型。此外,他还使用红外图像和隐形眼镜证明了虹膜扫描技术的脆弱性。