指紋識(shí)別、虹膜識(shí)別、靜脈識(shí)別……隨著高科技的發(fā)展，生物識(shí)別技術(shù)開(kāi)始普遍被用作新的生物認(rèn)證方式，并有代替數(shù)字密碼的趨勢(shì)。但是，以“獨(dú)一無(wú)二”為噱頭的生物識(shí)別技術(shù)，真的沒(méi)有安全隱患了嗎？昨天，來(lái)自美國(guó)加州大學(xué)圣芭芭拉分校的尼克·斯蒂芬斯在“極棒”(GeekPwn)極客嘉年華上“秀”了一手，震驚了科技界。

斯蒂芬斯在臺(tái)上的演繹很簡(jiǎn)單：他邀請(qǐng)兩位現(xiàn)場(chǎng)觀眾上臺(tái)，一位負(fù)責(zé)在嶄新的手機(jī)上輸入指紋；然后，指導(dǎo)另一位觀眾下載一個(gè)App，并輸入幾行攻擊代碼，整個(gè)流程大約10分鐘——后者驚奇地發(fā)現(xiàn)，自己已經(jīng)可以成功解開(kāi)指紋鎖了?！安皇撬械氖謾C(jī)都可以破解指紋識(shí)別，這次是找到了某品牌手機(jī)的提權(quán)漏洞，我才能攻破?！彼沟俜宜乖诮邮苡浾卟稍L時(shí)表示，指紋識(shí)別也可以被遠(yuǎn)程攻破，只不過(guò)還需要更多破解工具。

這是極客第一次真正意義上從軟件層面破解指紋識(shí)別技術(shù)。此前，指紋識(shí)別的安全與否與技術(shù)本身并無(wú)關(guān)系，它的風(fēng)險(xiǎn)僅僅在于用戶的指紋可能被竊取——比如，美國(guó)密歇根州立大學(xué)研究人員通過(guò)3D打印機(jī)、橡皮泥等工具建模，以此攻破指紋識(shí)別系統(tǒng)。

斯蒂芬斯這次采用的是篡改信任區(qū)里的指紋驗(yàn)證模塊，在信任環(huán)境中進(jìn)行提權(quán)，來(lái)攻破指紋識(shí)別的防線。指紋識(shí)別搭配信任區(qū)技術(shù)作為最新的手機(jī)安全技術(shù)，一直被視為手機(jī)安全的最后一道防線，現(xiàn)在有極客突破了這道防線——如此一來(lái)，不僅用戶的敏感數(shù)據(jù)可能被竊取，支付等高權(quán)限場(chǎng)景也可能被侵入。

一位安全領(lǐng)域?qū)＜腋嬖V記者，“相對(duì)于數(shù)字密碼等現(xiàn)有方式，生物識(shí)別具有防偽性能好、私密性強(qiáng)、隨身‘?dāng)y帶’等優(yōu)點(diǎn)，肯定是一種更安全的技術(shù)?！钡牵F(xiàn)有的生物識(shí)別技術(shù)并沒(méi)有完全成熟：從物理層面上，它可能會(huì)因?yàn)閭€(gè)人數(shù)據(jù)被濫用而被惡意“復(fù)制”；從技術(shù)層面講，現(xiàn)有的技術(shù)還需要更多的安全驗(yàn)證，才能被進(jìn)一步推廣。

斯蒂芬斯也表示，包括虹膜識(shí)別、人臉識(shí)別、指紋識(shí)別，這些生物識(shí)別技術(shù)的安全性能都差不多，只要系統(tǒng)存在漏洞，一樣可以被攻破。專家認(rèn)為，不用過(guò)于擔(dān)心生物識(shí)別技術(shù)的安全漏洞，因?yàn)檫@些極客攻破的系統(tǒng)漏洞，都會(huì)提交給硬件或軟件廠商，以優(yōu)化現(xiàn)有系統(tǒng)，為生物識(shí)別技術(shù)的進(jìn)一步發(fā)展和安全提供支持；事實(shí)上，用戶更需要做的，是有意識(shí)地保護(hù)自己的“身體密碼”。