剪刀手”拍照指紋會(huì)被盜？

拍照喜歡比剪刀手的人要注意了！

今天上午，在國家網(wǎng)絡(luò)安全宣傳周上海地區(qū)活動(dòng)上，上海信息安全行業(yè)協(xié)會(huì)副主任張威給出一個(gè)嚇人的提醒：拍照時(shí)如果鏡頭距離夠近，“剪刀手”照片通過照片放大和人工智能技術(shù)，就能將人物的指紋信息還原出來。

此言一出，在網(wǎng)上掀起了激烈的討論，有網(wǎng)友戲稱：“剪刀手，永別了?！边€有的恍然大悟：“難怪有人的剪刀手反著的手背向外?！庇械倪€開玩笑，以后拍照干脆握拳，為了保護(hù)臉部信息還要戴面罩。

不少網(wǎng)友聽到這個(gè)消息

就慌了——

還有網(wǎng)友想好了應(yīng)對妙招——

心疼這幾位朋友……

玩笑歸玩笑，倘若靠拍照就能輕易獲取他人指紋，并用于違法犯罪，那么無論是對于信息安全還是財(cái)產(chǎn)、生命安全都是一個(gè)巨大威脅。

“剪刀手”有風(fēng)險(xiǎn)的說法很早就有

按照張威的說法，“剪刀手”很容易泄露身份信息，“基本上1.5米內(nèi)拍攝的剪刀手照片就能100%還原出被攝者的指紋，在1.5米-3米的距離內(nèi)拍攝的照片能還原出50%的指紋，只有超過3米拍攝的照片才難以提取其中的指紋?！?/p>

所以他提醒，不但不要向陌生人提供自己的指紋、不在不可信的設(shè)備上錄入自己的指紋外，而且不要在3米內(nèi)拍攝“剪刀手”照片，帶有自己指紋信息的照片不要在網(wǎng)上亂發(fā)。另外，家里若是有指紋門鎖，盡量設(shè)置指紋加口令的雙因子方式打開，才能保證安全。

實(shí)際上，這已經(jīng)不是“剪刀手”第一次和指紋識別尷尬“相遇”。最早是在2014年，德國一場黑客聯(lián)盟會(huì)議上，有黑客組織從網(wǎng)上下載了一組德國國防部長的高清照片，他們從中挑選了幾張包含手部特寫信息的，用一款專門識別指紋的軟件，就提取到了德國國防部長的指紋。

不過，這個(gè)組織并沒有將這一研究通過真實(shí)實(shí)例驗(yàn)證。也即他們拿到了指紋也沒去干什么壞事，只是通過這樣的方法提醒全網(wǎng)，要注意指紋的安全。

在國內(nèi)引發(fā)更多熱議的是3年后。2017年，日本國立信息學(xué)研究所給出的研究結(jié)論。他們用2040萬像素的數(shù)碼相機(jī)在不同距離拍攝人像，同樣通過照片放大和人工智能增強(qiáng)技術(shù)，在1.5米內(nèi)拍攝的“剪刀手”照片，能夠100%還原出被攝者的指紋，在1.5米至3米內(nèi)的距離內(nèi)拍攝的照片，能還原出50%的被攝者指紋。

這一說法和張威的提醒一致。不過，日本這家研究所公布實(shí)驗(yàn)結(jié)果似乎另有目的，因?yàn)樗麄冸S后就聲稱開發(fā)出了一種透明紙膜，不僅能隱藏指紋，也不影響指紋解鎖。

通過拍照獲得的指紋真能解鎖嗎？

我距離拍照和指紋解鎖最近的一次是在去年5月份。當(dāng)時(shí)受百度安全的邀請，有著黑客奧斯卡之稱的Defcon第一次走出美國，在北京舉辦了活動(dòng)。在活動(dòng)現(xiàn)場，百度安全一位叫灰灰（化名）的小伙子就向所有人展示了生物識別到底有多不靠譜，其中就涉及了指紋和虹膜識別。

據(jù)灰灰自己介紹，他在百度從事系統(tǒng)安全研究，在大學(xué)時(shí)就對拆解和研究電子產(chǎn)品很感興趣，畢業(yè)后從事安全方面的工作也使他額外關(guān)注各種鎖的安全。結(jié)果和小伙伴發(fā)現(xiàn)，目前市場上各個(gè)廠家極力推廣的指紋和虹膜識別都存在很大漏洞。

現(xiàn)場，他用一些簡單的材料和設(shè)備，幾分鐘內(nèi)就“復(fù)制”出了一枚指紋，拿著它們無論是打開手機(jī)還是打開指紋鎖都沒有問題?！安杉@些指紋也很容易，比如一個(gè)人按的手印，拍照下來就能制作一枚指紋，或者用一個(gè)高倍照相機(jī)也能實(shí)現(xiàn)。”

聽到這是不是有點(diǎn)慌？對于“復(fù)制”指紋的過程，灰灰強(qiáng)調(diào)了兩點(diǎn)：首先，對照片的精度和亮度有要求，放大后不能很暗也不能模糊，這樣才能夠獲取精準(zhǔn)的指紋信息。換句話說，這件事通過大部分手機(jī)是完成不了的，何況現(xiàn)在許多手機(jī)還自帶美顏功能，別說指紋了，連抬頭紋都被美顏了。

所以，拍照獲取指紋，聽上去簡單，除非是有人刻意為之，且擁有專業(yè)的攝影器材，否則也很難成功。

其次，拿到指紋后做的硅膠指模，只能用來解鎖沒有“活體指紋識別”的手機(jī)或者智能鎖，并不是所有鎖都能被輕易破解。這么一來，能不能解鎖，問題就拋給了手機(jī)和智能鎖本身。

光學(xué)識別容易被假手指欺騙

郎先生在杭州做了10多年智能鎖的生意。據(jù)他了解，市面上的指紋鎖的識別大致分兩種，一種是光學(xué)識別，一種是半導(dǎo)體識別，常說的電容識別就屬于這一種。

兩種方式的區(qū)別在于：前者利用光線反射，相當(dāng)于給指紋“拍照”；后者采用“活體指紋識別”，利用人體真皮組織的電特性，獲取真人手指的持續(xù)有效的指紋特征值數(shù)據(jù)。

光從兩種方式的技術(shù)原理就能看出，哪一種更容易受到假指紋的沖擊。按照郎先生的說法，半導(dǎo)體識別可以有效避免指紋膜、假手指的欺騙，單純的光學(xué)識別很難辨別指紋的真?zhèn)?。目前，銀行業(yè)也硬性規(guī)定，一定要用“活體指紋識別”，以保證一定安全等級的活體檢測能力。

“如果說是照片獲取的指紋，那受影響的應(yīng)該就是光學(xué)識別?！彼硎?，目前大的指紋鎖品牌普遍采用的是半導(dǎo)體識別，少數(shù)采用光學(xué)識別的也加入了活體指紋識別，“不過，現(xiàn)在做指紋鎖的廠家太多，很多小廠覺得普通家庭被人獲取指紋的可能性不大，為了節(jié)省成本就降低了安全性?！?/p>

不光是在指紋鎖領(lǐng)域，手機(jī)領(lǐng)域也存在同樣的問題。目前，常見的手機(jī)指紋識別有四種：熱敏、電容、光學(xué)和超聲波。傳統(tǒng)手機(jī)普遍采用電容識別，也就是HOME鍵。后來“全民屏”流行，手機(jī)廠商開始推屏下指紋識別，光學(xué)和超聲波識別技術(shù)站到了前臺(tái)。

但隨之而來的問題是，在手機(jī)屏上操作很容易因?yàn)楹節(jié)n和油漬留下指紋。之前在一年一度的“GeekPwn 極棒破解大賽”上，就有人用一張可以反光的塑料卡片就解鎖了屏下指紋鎖。原理就是通過光纖反射，指紋接收器會(huì)把屏幕上的指紋油漬誤認(rèn)為是機(jī)主的手指，解除鎖定。

市面上指紋鎖的質(zhì)量堪憂

雖然安全性較高的指紋鎖可以降低“剪刀手”照片帶來的風(fēng)險(xiǎn)，但目前市面上指紋鎖的經(jīng)不起太多考驗(yàn)。

就在最近，北京、天津、河北三地消費(fèi)者協(xié)會(huì)委托中國家電研究院對網(wǎng)售智能門鎖進(jìn)行測試，測試樣品包括三星、名門、箭牌、鹿客等28個(gè)品牌的38款智能門鎖。測試項(xiàng)目主要包括電磁兼容試驗(yàn)、環(huán)境試驗(yàn)、IC卡解鎖試驗(yàn)、指紋解鎖試驗(yàn)、密碼邏輯安全性和電路非正常試驗(yàn)。

測試結(jié)果顯示，28個(gè)品牌的38款智能門鎖，竟然沒有任何一款智能門鎖通過所有檢測！

其中，有14款智能門鎖樣品宣稱采用活體指紋檢測技術(shù)，對假指紋可以進(jìn)行防護(hù)，但檢測人員使用假指紋進(jìn)行試驗(yàn)時(shí)，均被輕易解鎖，涉及鹿客、海爾、箭牌、TCL、固特、金點(diǎn)原子、凱迪仕等多個(gè)品牌的樣品。

之前，灰灰和團(tuán)隊(duì)對市面上的指紋鎖和手機(jī)都做過一些測試，也發(fā)現(xiàn)了類似的情況，“有的品牌聲稱采用了更好更安全的技術(shù)，但實(shí)際上還是用的最便宜最簡單的技術(shù)，因?yàn)橛X得出事的概率不高?！?/p>

或許也是這個(gè)原因，從2018年至今，智能指紋鎖的質(zhì)檢結(jié)果一直不太好。2018年底，國家市場監(jiān)管總局對40款智能門鎖做了風(fēng)險(xiǎn)監(jiān)測，25%的樣品指紋識別功能存在安全風(fēng)險(xiǎn)。

2019年5月，中國消費(fèi)者協(xié)會(huì)等對29款主流智能門鎖商品開展了比較試驗(yàn)，結(jié)果顯示，48.3%的樣品密碼開啟存在安全風(fēng)險(xiǎn)，50%的樣品指紋識別開啟存在安全風(fēng)險(xiǎn)，85.7%的樣品信息識別卡開啟存在安全風(fēng)險(xiǎn)，開鎖方式的安全性有待提高。

所以，在提防擺“剪刀手”泄露指紋的同時(shí)，更應(yīng)該看看指紋鎖本身有沒有風(fēng)險(xiǎn)