生物识别技术真的安全吗

本报讯　(记者徐晶卉)指纹识别、虹膜识别、静脉识别……随着高科技的发展，生物识别技术开始普遍被用作新的生物认证方式，并有代替数字密码的趋势。但是，以“独一无二”为噱头的生物识别技术，真的没有安全隐患了吗？　昨天，来自美国加州大学圣芭芭拉分校的尼克·斯蒂芬斯在“极棒”(GeekPwn)极客嘉年华上“秀”了一手，震惊了科技界。

斯蒂芬斯在台上的演绎很简单：他邀请两位现场观众上台，一位负责在崭新的手机上输入指纹；然后，指导另一位观众下载一个App，并输入几行攻击代码，整个流程大约10分钟———后者惊奇地发现，自己已经可以成功解开指纹锁了。“不是所有的手机都可以破解指纹识别，这次是找到了华为P9手机中信任区(Trust Zone)的提权漏洞，我才能攻破。”斯蒂芬斯在接受记者采访时表示，指纹识别也可以被远程攻破，只不过还需要更多破解工具。

这是极客第一次真正意义上从软件层面破解指纹识别技术。此前，指纹识别的安全与否与技术本身并无关系，它的风险仅仅在于用户的指纹可能被窃取———比如，美国密歇根州立大学研究人员通过3D打印机、橡皮泥等工具建模，以此攻破指纹识别系统。

碁震(Keen)创始人兼CEO王琦透露，斯蒂芬斯这次采用的是篡改信任区里的指纹验证模块，在信任环境中进行提权，来攻破指纹识别的防线，“指纹识别搭配信任区技术作为最新的手机安全技术，一直被视为手机安全的最后一道防线，现在有极客突破了这道防线———如此一来，不仅用户的敏感数据可能被窃取，支付等高权限场景也可能被侵入”。

一位安全领域专家告诉记者，“相对于数字密码等现有方式，生物识别具有防伪性能好、私密性强、随身‘携带’等优点，肯定是一种更安全的技术。”但是，现有的生物识别技术并没有完全成熟：从物理层面上，它可能会因为个人数据被滥用而被恶意“复制”；从技术层面讲，现有的技术还需要更多的安全验证，才能被进一步推广。

斯蒂芬斯也表示，包括虹膜识别、人脸识别、指纹识别，这些生物识别技术的安全性能都差不多，只要系统存在漏洞，一样可以被攻破。王琦认为，不用过于担心生物识别技术的安全漏洞，因为这些极客攻破的系统漏洞，都会提交给硬件或软件厂商，以优化现有系统，为生物识别技术的进一步发展和安全提供支持；事实上，用户更需要做的，是有意识地保护自己的“身体密码”。