最近,有媒體報道,亞馬遜正在悄悄測試新的支付方式:用手掌支付。亞馬遜的工程師們正在測試一種可以識別人手掌動作的掃描儀,不需要用戶直接接觸,機器會掃描并辨別手掌的形狀和動作,自動完成支付。未來幾個月他們打算在美國旗下的全食超市(Whole Foods Market)中推廣這一工具。
生物識別信息正在泄露
國內主流的移動支付工具,微信和支付寶,很早就將指紋用于支付身份驗證,隨著微信和支付寶的大力推進,面部識別方式也正推廣開來。現在,亞馬遜又加入手掌信息,支付工具對生物識別信息的使用越來越廣泛。
除了支付,解鎖智能手機、開智能鎖、刷門禁。..。..生物識別信息的應用范圍越來越廣。使用的種類也越來越多:指紋、虹膜、面部識別。..。..但是,當這些生物信息被大規模使用時,泄露的風險也在增加。而且,真實的案例正在發生。
2019年8月14日,英國《衛報》就曾報道過一起大規模的數據泄露事件。一家叫做Suprema的生物科技公司,把大量未加密的用戶數據放到網上,這些數據包含了100多萬人的指紋、面部識別等敏感信息。由于數據未加密,也沒有其他防護,其他人可以輕易獲取。這些數據來自公司服務的各大機構,包括政府、銀行、英國大都會警察局等。目前,還沒有數據被其他人獲取并濫用的報道,但造成的后果還不好說。
相較之下,印度的例子要嚴重得多。2009年,印度啟動了一項宏大的計劃,將全國超過95%人口的生物識別信息納入國家數據庫Aadhaar,大約11億人的姓名、地址、手機號,以及指紋、相片、虹膜掃描等信息被保存。
但滑稽的是,這些數據并沒有得到嚴格的保護,數據庫很快就被黑客攻破,現在,通過WhatsApp上的匿名群組,任何人都能以500盧比(相當于人民幣50塊錢)的低廉價格買到這11億人的生物識別信息。未來,將有無數人可以使用這些信息,和這11億人的信息相比,Suprema泄露的信息甚至顯得有些微不足道。
過去,我們使用賬號密碼的方式驗證身份,保護不當泄露的話,可能會遭受不少損失。現在使用生物識別信息驗證身份,信息也發生了泄露,只是這些信息的泄露要嚴重很多,賬號密碼是可更改的,可以隨時變換。但生物信息是唯一的且不可更改的,一旦泄露,風險就會伴隨終生。
指紋、面部識別沒你想的那么安全
盡管所有的服務商都會強調自己的生物識別技術非常先進,破解非常困難,十分安全。但事實上它們并沒有那么安全,現在市面上最常見的指紋識別和面部識別兩種方式都是可以破解的。
指紋識別最早是在2011年出現在手機上的,當時的摩托羅拉Atrix 4G就使用了指紋識別,但真正開始流行起來是在2013年,當時蘋果發布iPhone 5s,再次把指紋識別用到了手機上,并稱其為Touch ID。隨后,一眾手機廠商開始追隨蘋果,指紋識別開始流行開來。
為了提高Touch ID的安全性,蘋果下了不少功夫,為此還花3.56億美元收購了Authentec,一家全球頂尖的指紋認證傳感器方案提供商。對手機上的指紋識別模塊,蘋果也一再強調其安全性。然而,距iPhone 5s開售僅僅24小時,Touch ID就被黑客破解了。
無獨有偶,蘋果2017年發布iPhone X的時候,使用了面容識別系統Face ID,在發布會上蘋果大費周章地展示這個技術的強大,并表示這個新技術無比安全,但最后還是打了臉。先是被報道可能會被雙胞胎騙過驗證,接著,在2019年舉辦的世界黑帽安全大會上,被騰訊團隊使用一副特制的眼鏡就破解了。
蘋果的Touch ID和Face ID的技術在業界都是領先的,尚且會被破解,其他使用屏下指紋和2D面容識別的手機,破解難度也不會高過蘋果,事實上,相關的破解新聞在互聯網上很容易搜到,使用生物信息識別并沒有那么安全。
當然,對于普通人來說,手機被破解的風險實際上是很小的。因為這些破解方法都很復雜,成本也不低,普通人的手機,根本不值得黑客浪費精力破解。
先說指紋識別,黑客想要破解,首先需要獲取一份清晰的指紋圖像樣本,黑客需要確定用戶使用的是哪一只手指,并且還要確保手指干凈,這些條件已經比較苛刻。怎樣提取清晰的指紋樣本同樣復雜,沒有專業的知識很難辦到。制造一份假的指紋副本還需要昂貴的設備。面對這么高昂的成本,黑客不可能隨便去破解一個人的手機。
對Face ID的破解相對簡單一些,騰訊團隊利用蘋果活體檢測的漏洞,特制了一副叫做“X-glasses”的眼鏡,他們在眼鏡上貼上一張黑膠布,并在黑膠布中央貼上一小塊白膠布,借此偽裝成人眼,騙過蘋果的活體檢測。不過這個破解同樣有很多局限,首先需要使用到被破解者本人的面容,還需要被破解者不作任何反抗。《福布斯》的記者們也曾使用3D打印的人臉石膏模型破解市面上的一些旗艦手機:LG G7 ThinQ、三星 S9、三星 Note 8 和一加 6,但是他們沒能破解iPhone的Face ID。
所以說,盡管可以破解,但是獲取信息的成本和破解的成本都是比較高的,普通人暫時不需要擔心安全問題。
使用生物識別需要慎重
但是,除了手機,對于其他使用生物識別信息的設備,獲取成本是否同樣這么高呢?而且,生物識別信息的使用有逐漸擴大的趨勢,各個服務商對信息的保護能力是不同的,一旦這些信息的使用規模變大,獲取生物信息的成本也許就不那么高了。
而且,泄露這些不可更改的生物識別信息之后,不僅僅是相關服務會面臨長期隱患,在一些犯罪活動中,這些信息也可能被利用,犯罪分子可以偽造生物識別信息作為證據,也可以用于偽造身份,這可能使普通人面臨自證的困難。所以,當生物識別信息被大規模應用,獲取成本降低之后,風險可能比我們想象的大。
在生物識別逐漸普及的今天,普通人在使用相關服務時,還是應該謹慎一些,比如:那些會在云端存儲生物識別信息的服務能不用就不用,畢竟服務商保護信息的能力參差不齊;盡可能減少生物識別信息的使用,減少泄露的風險;保護好自己的隱私,不要隨便泄露自己的生物識別信息。
確實有很多人愿意為便利付出一些代價,隨意使用生物識別信息也是個人自由,只是,為自由付出的代價也要自己承擔。所以,對個人而言,如果愿意減少一些風險,使用生物識別信息時還是謹慎一些比較好。對于服務商來說,如果沒有足夠的能力保護信息安全,還是不要輕易獲取客戶的這些信息。同時,還是希望有可靠的機制保證服務商獲取信息的途徑是合法的,使用的方式是合理的。
-
生物識別
+關注
關注
3文章
1210瀏覽量
52518 -
面部識別
+關注
關注
1文章
375瀏覽量
26632 -
亞馬遜
+關注
關注
8文章
2650瀏覽量
83321
發布評論請先 登錄
相關推薦
評論