翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
三星Galaxy S8具有多种基于生物辨识的验证系统,包括脸部识别、指纹扫描器和虹膜扫描器。虹膜验证能让用户解锁设备并授权支付,“是锁定手机最安全的方式之一”。
虽然每个用户的虹膜是唯一的,但研究人员表示能通过出示受害者眼睛的图片绕过三星的虹膜扫描器。值得注意的是,来自CCC的成员也是首个绕过苹果基于指纹的Touch ID系统的组织机构。
专家表示获取虹膜数据有多种方法,包括从用户自己发布在互联网上的高清图片等。另外一种方法就是通过带有夜间拍摄模式或禁用红外滤光器的数码相机为目标用户的眼睛拍照。
研究人员演示带有200mm镜头的照相机就能在最多5米远的地方拍到可供虹膜使用的图片。一旦获取虹膜照片,就能通过激光打印机将照片打印出来;具有讽刺意味的是,三星打印机提供的照片效果最好。最后一步就是将接触透镜放在打印机上面模拟真实眼睛的弯曲度。将照片放在Galaxy S8的虹膜扫描器前面就能成功解锁设备。演示视频如下:
目前三星尚未做出回应。
这并非第一次有人针对三星Galaxy S8的生物辨识功能发起攻击。几周前有人通过显示目标用户脸部的方式成功绕过了三星的脸部识别系统。研究人员表示如果传言正确的话即下一代iPhone设备会支持虹膜扫描器,那么他们也会做出绕过尝试。
生物辨识现在变得越来越流行,在金融行业更是如此。银行现在允许用户使用自拍、声音和指纹进行验证和授权。虽然生物辨识验证通常被认为安全系数较高,但总有绕过它们的方法。最近一名来自BBC公司的记者演示了与其外貌并不相似的双胞胎兄弟可欺骗银行的语音ID验证服务访问自己的汇丰银行账户。