纽约大学的研究人员们,刚刚创建了一套“主密钥”指纹,可用于欺骗生物识别系统。 即便其使用的指纹数据库,可能产生 1/1000 的随机错误匹配,但他们打造出来的“主密钥”指纹,拥有高达 1/5 的命中率。 此项研究的论文(已发表在 ArXiv 预打印服务器上),证明可借助机器学习技术来人工生成指纹,欺骗采用指纹认证防护的数据库。
Counterpoint Research 去年发表的一份报告显示,2017 年出货的智能手机中,指纹传感器的装配量已经超过了 50% 。预计到 2018 年底,这一数字会增长到 71% 。
问题在于,这些传感器只能获取用户指纹的部分图像 ―― 即与扫描仪直接接触的部分点位。论文指出,部分指纹内容的独特性较为有限,产生错误匹配的可能性很高。
研究人员打印了被称作 DeepMasterPrints 的“主指纹”,然后充分利用上述漏洞,准确“模仿”了 数据库 中 1/5 的指纹。(原数据库的错误匹配率为 1/1000)
此外,研究人员利用了另一项漏洞 ―― 一些天然的指纹特征(环与旋),其‘流行’程度很高。基于此,团队生成了一些包含此类常见特征的打印件。
结果发现,这种人造指纹的错误匹配率,远高于其它形式。最后,研究人员还借助神经网络、利用这些重复特征伪造了更加令人信服的假冒指纹。
DeepMasterPrints 可用于欺骗那些需要指纹进行身份验证的系统,而无需收集到任何真实的用户指纹信息,其或被用于向特定系统发起字典攻击。
网络安全专家兼专栏作者 Mikko Hypponen 在 Twitter 上表示,这种漏洞对常用生物识别系统的危害极大。
原标题为:《DeepMasterPrints: Generating MasterPrints for Dictionary Attacks via Latent Variable Evolution》
[编译自: TNW , 来源:ArXiv( PDF )]
