在4月8日發(fā)布的博客文章《指紋克隆:神話還是現(xiàn)實?》中,思科Talos研究員PaulRascagneres以及技術(shù)主管兼安全研究員VitorVentura得出結(jié)論,“3D打印技術(shù)可以欺騙電話和計算機指紋掃描儀。”他們收集了真實人物的真實指紋-包括臭名昭著的黑幫成員AlCapone,然后用3D打印機創(chuàng)建了指紋模具。
根據(jù)這項研究現(xiàn)實,在使用假指紋的過程中,Rascagneres和Ventura的平均成功率約為80%。在視網(wǎng)膜掃描和面部識別技術(shù)之前,指紋掃描是比較常見的生物識別方式。
Ventura說:“我們想看看指紋認證是否安全。”
通過利用Rascagneres作為3D藝術(shù)家的特長,這兩位研究人員測試了不同品牌和設(shè)備模型,并開發(fā)了與實際情況相匹配的威脅模型。
Rascagneres說:“隨著最近生物特征信息的泄漏以及3D打印技術(shù)的進步,以及指紋認證的大量使用,我們想知道創(chuàng)建偽造指紋的難度有多大。我們有兩個主要目標:盡可能接近現(xiàn)實世界的體驗,并與世界分享我們的過程,并說明在低預(yù)算的情況下完成這項工作的難度。”
研究人員在博客中寫道,他們以“預(yù)算限制為前提,看看這是否可以在低預(yù)算情況下完成,還是需要由國家資助的參與者完成。”
Rascagneres說:“在我們的預(yù)算情況下,這很耗時。每次嘗試都需要花費數(shù)小時。而資金雄厚的攻擊者可以獲得更好更昂貴的打印設(shè)備,例如醫(yī)療設(shè)備。通過更大的預(yù)算,我們認為這個過程將得到改善和更加準確。”
在進行研究時,他們發(fā)現(xiàn)他們的3D打印方法無法攻破WindowsHello生物特征認證。
Rascagneres說:“我們認為微軟算法更嚴格。指紋認證需要控制指紋上的多個點,我們認為MicrosoftWindows比其他設(shè)備需要驗證更多的點。”
該博客還提到了蘋果公司,并指出“除了蘋果以外,大多數(shù)傳感器都是由第三方開發(fā)的”,這是一個優(yōu)勢。
Rascagneres說:“從實現(xiàn)的角度來看,更容易成為整個協(xié)議棧的所有者。”
這并不是研究人員第一次質(zhì)疑生物識別認證的有效性。例如,2018年,紐約大學(xué)丹頓分校和密歇根州立大學(xué)的研究人員開發(fā)了DeepMasterPrints,這是AI生成的偽造指紋圖像,可能蒙騙生物識別傳感器。
而在兩年后,Rascagneres和Ventura發(fā)現(xiàn),指紋技術(shù)仍未發(fā)展到足以應(yīng)對所有提議的威脅模型。
現(xiàn)在,攻擊者可以從由機器學(xué)習(xí)生成的高級攻擊(例如DeepMasterPrints)轉(zhuǎn)移到低級的廉價的打印攻擊。
Rascagneres和Ventura在博客中寫道:“3-D打印技術(shù)使任何人都可以創(chuàng)建偽造的指紋。不僅如此,還可以利用適當?shù)馁Y源大規(guī)模地進行偽造。
