设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

黑了普京的眼睛!黑客可通过高清图片绕过虹膜识别

2015-3-13 19:18| 发布者: 随便、先森。| 查看: 1454| 评论: 0|来自: 360安全播报

摘要: 在本周的世界移动通信大会上,除了手机和应用程序的丰富展示外,一些设备提供了一种特殊的方式来保护设备。即通过扫描人眼来登录设备。虽然其商业版本并未准备好,但中兴与富士通都会对参会人员展示他们的认证技术。 ...


在本周的世界移动通信大会上,除了手机和应用程序的丰富展示外,一些设备提供了一种特殊的方式来保护设备。即通过扫描人眼来登录设备。虽然其商业版本并未准备好,但中兴与富士通都会对参会人员展示他们的认证技术。

尽管看起来是安全的,但是这种形式的生物识别技术已经被过去一些非常简单的技术绕过了。来自著名的混沌计算机俱乐部的安全研究员Jan Starbug告诉福布斯仅仅需要用通过谷歌搜索找到的高清晰度图像,就可以使用一些虹膜扫描工具进行这种攻击。他认为,只要这些照片足够生动和清晰,就有可能通过简单的图像来拷贝人眼并绕过生物认证。

工作在生物识别技术领域具有研究历史的电信创新实验室(T-Labs)的Krissler。在去年十二月份的时候,他展示了德国国防部长,乌尔苏拉·冯德莱恩(Ursula von der Leyen)的指纹“克隆”技术。他通过采取这位政治家手部的大量快照样本,并使用VeriFinger的商业指纹软件来得到部长独一无二的指纹准确读数,成功地伪造出指纹。虽然他无法确定它是否能伪造出冯德莱恩的拇指指纹,Krissler可随后在一个倒成像指纹透明板的顶部用一层乳胶或木胶来制作一个精密的指纹克隆。但他还未得到莱恩部长本人的许可,以进行进一步的实验。

Krissler说,他只需要从网络上获取图片,并对虹膜识别,就能成功伪造。本月,他会在温哥华即将召开的CanSecWest安全会议上详细介绍这种技术。为了得到可用图像,他需要依靠一些条件。首先,图片中眼睛必须明亮,因为公司买给他的红外系统工作方式是借助光学来工作的。在十二月份的测试中,Krissler成功绕过了松下 BM-ET200的虹膜识认证别技术,该产品虽已停产,但他说这是一个普遍使用的系统的例子。

尽管Krissler没有遇到什么困难,但图像的要求是必须够大而且足够清晰。通过Jabber(即时聊天软件),Krissler告诉福布斯:“我们使用一张光圈直径低至75像素的图像,已经成功地骗过了商业系统。我测试了不同的人的照片,可以说,就算光圈直径低至75像素的虹膜图像,也能成功绕过。” 并且图像还必须具有1200 DPI的分辨率,虽然当今找一台能够达到这种标准的打印机很容易,但至少有75%的虹膜可见才是理想化的。

研究人员宣称,与制作一个合适克隆的指纹攻击不同的是,在破解虹膜识别时他仅需要打印出照片。“仅此而已。完全没必要克隆。”,Krissler补充道。

破解各个总统的眼睛

任何一个黑客在进行这样的公然攻击前必须要找到合适的目标。幸运的是(或不幸),一些在世界上最有权势的人常常出现在高清晰度图片中,并恰巧眼睛又可爱又明亮。Krissler发现,安格拉·默克尔竞选海报的光圈直径高达175像素,这对于黑客来说是非常理想的。在谷歌图片上,一个简单的搜索还提供了政治界中其他引人注目的目标,包括俄罗斯总统弗拉基米尔·普京,前国务卿和第一夫人希拉里·克林顿和英国首相戴维·卡梅伦。

普京之眼 – NBC

希拉里克林顿的眼睛 – MSNBC

卡梅伦之眼– The Spectator

不出所料的是,大量的高清图片将会被用于验证他人身份。Krissler看了一些4K分辨率的色情图片(也许这些不会列入讨论范围)并且还发现了一些非常清晰的眼部图片。

现在如此多人通过网站来分享他们漂亮而且高清晰度的照片,随着科技界的巨头们开始研究如何拓展虹膜扫描器在商业上的应用,这样的一种攻击正在逐渐变得可行了。与此同时,中兴Grand S3手机中使用了虹膜识别技术去识别人眼的眼白经络,富士通科技使用了一种基于红外线的系统,与松下电器的扫描器使用的是同样的技术。三星公司同样看上了虹膜识别技术。令我们充满希望的是,过去十年随着科技的不断发展,这种明显的攻击是可以防御的了,而不是仅仅去降低攻击危害,尽管苹果公司指纹识别技术的尝试非常的成功,这种成功意味着世界上顶级的智能手机制造商将会优先考虑设备的便利性,而将手机的安全性放到第二位。

一位名为Per Thorsheim的身份认证专家告诉我们(福布斯杂志),“虹膜识别技术是一次很棒的尝试但是还不够成熟,还没有做好推向广阔市场的准备”。他还补充说:“尽管这种技术也许会适用于某些对安全性能要求较高的环境下,但这种环境并不包括智能手机。”

当然,它可以通过狡猾的方式轻易的通过目标的硬件检测,并且没有人可以保证网上的照片不被篡改和攻击。但是无论攻击者发动的攻击是否会在现在的操作系统奏效,Krissler声称,混合智能开源代码的可能性已经被证实,将那些网络上所有关于人们感官的高分辨率图片聚集起来,采用生物学的验证方式去攻击著名人物和普通人的硬件设备。绕过生物学的验证听起来非常的复杂但是想要攻破它并不复杂。


原文链接:http://www.forbes.com/sites/thomasbrewster/2015/03/05/clone-putins-eyes-using-google-images/


鲜花

握手

雷人

路过

鸡蛋

相关阅读

发表评论

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部