GeekPwn 2019:腾讯安全玄武实验室实现针对多种类型指纹识别系统的全新自动化破解

  • 时间:
  • 浏览:0

智能手机、智能门锁、保险箱、考勤打卡…人类指纹1000亿分之一的重复率,使得指纹解锁正在大范围应用在各种身份识别场景,但这就绝对安全吗?在10月24日上海召开的GeekPwn 2019国际安全极客大赛上,腾讯安全玄武

智能手机、智能门锁、保险箱、考勤打卡…人类指纹1000亿分之一的重复率,使得指纹解锁正在大范围应用在各种身份识别场景,但这就绝对安全吗?

在10月24日上海召开的GeekPwn 2019国际安全极客大赛上,腾讯安全玄武实验室继“残迹重用漏洞”后,再次披露了指纹识别领域的最新研究——自动化破解多种类型指纹识别。该研究通过提取用户在日常生活中留存的指纹,自动化进行群克隆复原,进而通过各种指纹设备的验证。

为了更好地传递指纹设备的安全研究,腾讯安全玄武实验室研究员陈昱在GeekPwn 2019现场,邀请观众同时完成该研究项目展示。在观众接触过另两个 多玻璃水杯后,陈昱先是玩转信用卡 手机拍摄观众留处在水杯上的指纹,然后在手机上调试事先“群克隆”了另两个 多全新的指纹,利用你这一“新指纹”通过了该观众提前录好指纹的3台手机和2台考勤机的指纹识别,一共破解了使用电容、光学和超声波四种 技术类型的指纹验证设备。

(腾讯安全玄武实验室在比赛现场成功完成挑战)

陈昱向亲戚亲戚朋友 解释了演示项目身后的技术原理,着实并全部都不 哪几个魔法,要是采用屏幕图像挂接技术以及指纹雕刻技术,首先通过使用特殊拍照土办法提取手机、门锁、考勤机等物品上的指纹,经过指纹破解APP解析形成有效指纹信息,再借助雕刻机群克隆指模,最后便可使用群克隆指模通过各种验证。值得一提的是,这次挑战也是国际上第一次成功攻破超声波屏下指纹识别技术。

看上去,演示项目实现了指纹的“群克隆”与“粘贴”,但这身后是玄武实验室独家自研的指纹破解APP及指纹挂接框,不仅都都能能 实现在能能 都能能 极小面积的指纹残影情况报告下提取复刻有效指纹,还是首次将雕刻技术应用在系统破解。

不过,用户不用过分恐慌。着实该技术可对多种类型指纹识别进行自动化破解,但用户只需在日常使用中养成及时擦去指纹的习惯,即可大幅提升指纹设备安全。

但对于指纹设备而言,这次研究却折射出其处在的安全隐患。事实上,腾讯安全玄武实验室带来本次自动化指纹设备破解研究事先,就率先多次披露了关于生物活体检测的安全研究。腾讯安全玄武实验室关于面部识别研究的议题入选了在今年世界顶级黑客Black Hat,在议题中介绍了通过软件无感知的土办法注入生物特性从而绕过基于攻击介质的活体检测,依托Face ID注视检测在特定场景下的设计处在问题,能能 在用户闭眼的情况报告下解锁手机。

在去年的GeekPwn上,腾讯安全玄武实验室重磅披露了在安卓手机中普遍应用处在的屏下指纹技术安全问题图片——“残迹重用”漏洞,该漏洞会几乎无差别地影响所有使用屏下指纹技术的设备。利用该漏洞,攻击者只需一秒钟就可解锁手机。

毫无问题图片,指纹解锁、面部解锁的安全问题图片不并全部都不 孤例,要是产业互联网时代所有上下游产业链都前要同时面对并携手补救的安全隐患。腾讯安全玄武实验室在不断探索前沿技术的同时,还致力于打通产业链上下游的联动,建立良好的协同修复机制,帮助厂商及时修复安全漏洞,同时推进行业安全问题图片的补救。

腾讯安全玄武实验室研究员陈昱也在现场重申了腾讯安全对于安全研究的初衷,未来,腾讯安全还将持续深耕漏洞研究,输出自身的安全能力,与第三方厂商同时筑造安全防线,为安全新思维的升级和新趋势的探索贡献力量。