11亿人的人脸、指纹信息,50块竟然就能买到(指纹识别技术值钱吗)
最近,有媒体报道,亚马逊正在悄悄测试新的支付方式:用手掌支付。亚马逊的工程师们正在测试一种可以识别人手掌动作的扫描仪,不需要用户直接接触,机器会扫描并辨别手掌的形状和动作,自动完成支付。未来几个月他们打算在美国旗下的全食超市(Whole Foods Market)中推广这一工具。
生物识别信息正在泄露
国内主流的移动支付工具,微信和支付宝,很早就将指纹用于支付身份验证,随着微信和支付宝的大力推进,面部识别方式也正推广开来。现在,亚马逊又加入手掌信息,支付工具对生物识别信息的使用越来越广泛。
除了支付,解锁智能手机、开智能锁、刷门禁……生物识别信息的应用范围越来越广。使用的种类也越来越多:指纹、虹膜、面部识别……但是,当这些生物信息被大规模使用时,泄露的风险也在增加。而且,真实的案例正在发生。
2019年8月14日,英国《卫报》就曾报道过一起大规模的数据泄露事件。一家叫做Suprema的生物科技公司,把大量未加密的用户数据放到网上,这些数据包含了100多万人的指纹、面部识别等敏感信息。由于数据未加密,也没有其他防护,其他人可以轻易获取。这些数据来自公司服务的各大机构,包括政府、银行、英国大都会警察局等。目前,还没有数据被其他人获取并滥用的报道,但造成的后果还不好说。
相较之下,印度的例子要严重得多。2009年,印度启动了一项宏大的计划,将全国超过95%人口的生物识别信息纳入国家数据库Aadhaar,大约11亿人的姓名、地址、手机号,以及指纹、相片、虹膜扫描等信息被保存。
但滑稽的是,这些数据并没有得到严格的保护,数据库很快就被黑客攻破,现在,通过WhatsApp上的匿名群组,任何人都能以500卢比(相当于人民币50块钱)的低廉价格买到这11亿人的生物识别信息。未来,将有无数人可以使用这些信息,和这11亿人的信息相比,Suprema泄露的信息甚至显得有些微不足道。
过去,我们使用账号密码的方式验证身份,保护不当泄露的话,可能会遭受不少损失。现在使用生物识别信息验证身份,信息也发生了泄露,只是这些信息的泄露要严重很多,账号密码是可更改的,可以随时变换。但生物信息是唯一的且不可更改的,一旦泄露,风险就会伴随终生。
指纹、面部识别没你想的那么安全
尽管所有的服务商都会强调自己的生物识别技术非常先进,破解非常困难,十分安全。但事实上它们并没有那么安全,现在市面上最常见的指纹识别和面部识别两种方式都是可以破解的。
指纹识别最早是在2011年出现在手机上的,当时的摩托罗拉Atrix 4G就使用了指纹识别,但真正开始流行起来是在2013年,当时苹果发布iphone 5s,再次把指纹识别用到了手机上,并称其为Touch ID。随后,一众手机厂商开始追随苹果,指纹识别开始流行开来。
为了提高Touch ID的安全性,苹果下了不少功夫,为此还花3.56亿美元收购了Authentec,一家全球顶尖的指纹认证传感器方案提供商。对手机上的指纹识别模块,苹果也一再强调其安全性。然而,距iPhone 5s开售仅仅24小时,Touch ID就被黑客破解了。
无独有偶,苹果2017年发布iPhone X的时候,使用了面容识别系统Face ID,在发布会上苹果大费周章地展示这个技术的强大,并表示这个新技术无比安全,但最后还是打了脸。先是被报道可能会被双胞胎骗过验证,接着,在2019年举办的世界黑帽安全大会上,被腾讯团队使用一副特制的眼镜就破解了。
苹果的Touch ID和Face ID的技术在业界都是领先的,尚且会被破解,其他使用屏下指纹和2D面容识别的手机,破解难度也不会高过苹果,事实上,相关的破解新闻在互联网上很容易搜到,使用生物信息识别并没有那么安全。
当然,对于普通人来说,手机被破解的风险实际上是很小的。因为这些破解方法都很复杂,成本也不低,普通人的手机,根本不值得黑客浪费精力破解。
先说指纹识别,黑客想要破解,首先需要获取一份清晰的指纹图像样本,黑客需要确定用户使用的是哪一只手指,并且还要确保手指干净,这些条件已经比较苛刻。怎样提取清晰的指纹样本同样复杂,没有专业的知识很难办到。制造一份假的指纹副本还需要昂贵的设备。面对这么高昂的成本,黑客不可能随便去破解一个人的手机。
对Face ID的破解相对简单一些,腾讯团队利用苹果活体检测的漏洞,特制了一副叫做“X-glasses”的眼镜,他们在眼镜上贴上一张黑胶布,并在黑胶布中央贴上一小块白胶布,借此伪装成人眼,骗过苹果的活体检测。不过这个破解同样有很多局限,首先需要使用到被破解者本人的面容,还需要被破解者不作任何反抗。《福布斯》的记者们也曾使用3D打印的人脸石膏模型破解市面上的一些旗舰手机:LG G7 ThinQ、三星 S9、三星 Note 8 和一加 6,但是他们没能破解iPhone的Face ID。
所以说,尽管可以破解,但是获取信息的成本和破解的成本都是比较高的,普通人暂时不需要担心安全问题。
使用生物识别需要慎重
但是,除了手机,对于其他使用生物识别信息的设备,获取成本是否同样这么高呢?而且,生物识别信息的使用有逐渐扩大的趋势,各个服务商对信息的保护能力是不同的,一旦这些信息的使用规模变大,获取生物信息的成本也许就不那么高了。
而且,泄露这些不可更改的生物识别信息之后,不仅仅是相关服务会面临长期隐患,在一些犯罪活动中,这些信息也可能被利用,犯罪分子可以伪造生物识别信息作为证据,也可以用于伪造身份,这可能使普通人面临自证的困难。所以,当生物识别信息被大规模应用,获取成本降低之后,风险可能比我们想象的大。
在生物识别逐渐普及的今天,普通人在使用相关服务时,还是应该谨慎一些,比如:那些会在云端存储生物识别信息的服务能不用就不用,毕竟服务商保护信息的能力参差不齐;尽可能减少生物识别信息的使用,减少泄露的风险;保护好自己的隐私,不要随便泄露自己的生物识别信息。
确实有很多人愿意为便利付出一些代价,随意使用生物识别信息也是个人自由,只是,为自由付出的代价也要自己承担。所以,对个人而言,如果愿意减少一些风险,使用生物识别信息时还是谨慎一些比较好。对于服务商来说,如果没有足够的能力保护信息安全,还是不要轻易获取客户的这些信息。同时,还是希望有可靠的机制保证服务商获取信息的途径是合法的,使用的方式是合理的。