普遍用於手機、平板、筆電以及門禁系統的指紋辨識似乎充滿安全漏洞,當前有愈越來越多精緻複雜破解指紋掃描器的方法正在不斷創新和湧現。2018 年紐約大學研究人員便曾開發「萬能鑰匙」,可以解鎖隨機指紋保護的智慧手機。日前,更出現了僅憑使用者手指滑動聲音就能推斷出指紋的新攻擊手法。
該技術一旦落人有心人之手,將會在毫不知情的狀況下威脅到個人乃至國家安全。透過該技術,駭客甚至可以在遊戲玩家或社交媒體使用者在線上互動時,使用麥克風來偵測他們的手指動作,進而蒐集並合成他們的指紋型樣。
透過裝置內建麥克風錄下手指滑動聲,不需廣泛訓練就能對大量手機發動攻擊
然而,市調公司 Acumen Research and Consulting(ARC)去年 4 月發布預測報告指出,2032 年指紋辨識市場將從 2022 年的 127 億美元激增至 999 億美元。如此龐大的商機,讓駭客有更強大的動機尋求各種創新技術,極盡所能地挖掘各種指紋辨識應用裝置和場域的漏洞。
全新發表的新技術是在萬能鑰匙的基礎上展開進一步測試後的研究成果。所謂萬能鑰匙可以追溯自 2018 年,當時紐約大學工程學院的研究人員運用機器學習和人工智慧開發了所謂的「深度母紋」(deep master prints)來做為破解指紋辨識機制的萬能鑰匙,研究人員成功解鎖隨機指紋保護之智慧手機的機率達到三分之一。
至於全新指紋破解技術的攻擊效能如何,根據實際場景的大量實驗結果,在最高接收誤差率(FAR)的設置下,在 5 次或更少的嘗試中成功攻擊了 26.5% 的部分指紋和 9.3% 的完整指紋。
根據論文分析,PrintListener 系統擁有兩大「攻擊」優勢,一個是「隱匿性」,因為它不需要額外的硬體,直接透過裝置內建麥克風就可以捕捉手指在螢幕上滑過所產生的微弱摩擦聲,隨後再推斷出使用者的指紋型樣。基本上,這些手指滑動的摩擦聲會被社交通訊軟體以及擁有錄音權限的惡意軟體錄音和上傳。另一個優點是,由於它透過母紋序列運作,所以 PrintListener 不需對特定個人進行廣泛的訓練,便能對具有相似型樣的使用者手機進行更有效的字典攻擊。
