“Touch ID 的破解毫无挑战”

公司

2013-09-25 13:08

iPhone 5s 正式开卖不过三天,其主打的指纹识别功能 Touch ID 就惨遭破解——德国知名黑客 Starbug 自己制作了一套指纹,成功骗过了 Touch ID 系统。在许多人看来,破解 Touch ID 应该需要专业的知识和设备,其过程一定非常复杂。

但 Starbug 却表示破解  Touch ID “毫无挑战”,他甚至感到 “非常失望”:

我只花了 30 个小时就成功破解了 Touch ID。我大概花了半个小时来做准备工作,而花费了更多的时间去寻找传感器的技术规格信息。我非常失望,因为原本以为需要花费 1 到 2 个星期才能破解它。这次破解毫无挑战。

下面的视频介绍了制作 “伪装” 指纹骗过 Touch ID 的详细步骤,它揭示了一个残酷的现实——遗留在任何地方的指纹,都可能被用来绕过 Touch ID。

(youku)
只需一些并不昂贵的办公设备如图像扫描仪、激光打印机、蚀刻印刷电路板套件等,你甚至不必具备过多的专业知识,在家里就可以破解 Touch ID,而且整个制作过程只需花费数小时。

Touch ID 对苹果的意义显然不是解锁手机那么简单,或许也并不局限于支付方面,其有望搭建整个 iOS 甚至是 Mac OS 生态的一切身份验证堡垒。虽然苹果一再强调 Touch ID 的安全性,但外界的质疑从未间断,Starbug 更是一针见血地指出,“Touch ID 只是增加了便利性而不是安全性。”

我实际上并没有找到 Touch ID 传感器如何工作的过多细节,应该不是子表皮扫描(sub-epidermal scanning),因为扫描组织同人体皮肤上层太相似。最大的可能是,苹果选择了任意阈值(arbitrary threshold),这样才能确保 Touch ID 可靠而有效。简单的说,苹果考虑可用性和方便性要多于安全性。指纹传感器总是可以被打败,只要伪造的材料同人体组织的特点足够接近,并且这个高分辨率指纹的扫描是有效的。

Starbug 向 arstechnica 透露了破解 Touch ID 的初衷:“就像过去 10 年一样,我想证明没有任何指纹识别系统是不可攻破的,但主要还是我的兴趣使然。”

Starbug 表示自己并不是为了批评苹果,“你唯一可以批评他们的是,把 Touch ID 标榜成安全可靠的,即便他们知道这套系统有被攻破的可能。” 在 Starbug 看来,“利用生物识别技术来进行身份验证是存在问题的。”

智能手机安全公司 Lookout 的安全专家 Marc Rogers 参考上述方法亲身破解了 Touch ID,不过在他看来,虽然 Touch ID 可被破解,但该系统依然很棒:“破解 Touch ID 依赖技术、现有学术研究和耐心的结合。” 他认为 Touch ID 极大增加了便利性,“智能手机用户不喜欢使用密码的主要原因就是因为太麻烦了,而 Touch ID 轻松解决了便利性问题。虽然生物识别安全并不完美,但本就没有完美的安全。”

对于普通用户来说,参照上面的视频攻破  Touch ID 似乎并没有太大吸引力,想要查看老公的 iPhone 显然有更多简单快意的方法。但一个严重的问题是,谁会放心地用并不安全的 Touch ID 来完成资金流转呢?指纹的一大特点便是无处不遗留,从这点来说,Touch ID 带给人的心理安全感可能还不如自己私藏的密码本。

那么,有比生物识别更安全的身份验证办法吗?Starbug 的答案是——密码。

密码是没有任何问题的,只要足够长并且足够复杂。实际上,长而复杂的密码也可以配置在 iOS 设备上,提供足够的安全级别。问题是如何把握用户便利性和安全之间的平衡。谁也不想解锁手机时需要输入 20 个字符的密码。另一方面,如今智能手机包含了大量个人资料,用户会认为即使四位数 PIN 也是不够的。

苹果一向是拿捏 “平衡” 的高手,它会为了提高 2013 款 MacBook Air 的续航能力而宁愿牺牲一点处理器频率,从而带给用户更好的整体体验。

所以,Touch ID 也是苹果的一款 “平衡之作”?

 

题图来自 macpronet

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中