根据 Apple 的说法,Touch ID 的研究已持续进行七年,为的是让使用者可以“安全并方便的进入手机操作画面”,甚至可以用 Touch ID 来取代在 iTunes Store、App Store、iBooks Store 购买商品时输入 Apple ID 密码的步骤。
有两个人分别用不同招数,破解了 Touch ID
不过这项历时七年的研究,在 iPhone 5s 开卖几天后便宣告被破解。德国的骇客组织 Chaos Computer Club 成员 Starbug 宣称已经找到方法破解 Touch ID。
虽然已经宣称破解,但这个方法对普通人来说可能有一点困难,Starbug 表示 Apple 的 Touch ID 与普通的指纹检测相比,只是用了更高解析度的感测器。并只花了 30 个小时便破解 Touch ID,Starbug 塬本以为这将花上 1 至 2 个星期。
破解的方法如下:
1. 首先以 2400 dpi 的高解析相片采集指纹
2. 用相片编辑软体对指纹进行清理与反转,并用 1200 dpi 的雷射印表机将指纹印至透明薄片上
3. 将乳胶或是胶水涂抹到透明薄片上,等其凝固之后拿起来吹口气保持一点点湿润,接着便可黏至手指上来破解 Touch IDMarc Rogers,另一名破解 Touch ID 的骇客则使用了不同的方法,使用 PCB 板与其他化学药品,并利用蚀刻技术来制造假指纹。
虽然 Touch ID 被破解,但这不代表有重大缺陷,因为常人根本做不到
虽然破解了 Touch ID,致力于安全性研究的 Marc Rogers 在部落格表示,这并不代表 Touch ID 有重大缺陷。
因为要使用上述两种方法破解 Touch ID 皆有一定的难度,你不仅要拥有上述两种技术、设备外,还需采集得到使用者的指纹与 iPhone、并且需要有相当大的耐心。
正因为步骤过于繁琐,再加上现有“Find my iPhone”技术可以远端消除手机内的资料,普通使用者可以不用太过于忧虑。
除了被破解的问题之外,应该有其他更值得的深入探讨的问题,像是“Apple 采集了这些指纹资料如何存取?”、“是否有指纹外洩的隐忧?”等,毕竟没有人希望自己的指纹被犯人利用,出现在犯罪现场。于此,美国参议员 Al Franken 在美国时间 9 月 19 号写了一封信给 Apple 的 CEO Tim Cook,希望可以了解更多的技术细节。
而 Apple 也于美国时间 9 月 22 日公布了一份有关 Touch ID 的系统安全文件,文件中写道,Apple 并不是以图片的方式、而是以数学表达式的方式存取使用者的指纹,使用者不需要担心指纹外洩的困扰。根据这份文件,iphone 5s 采用新的 A7 晶片,指纹资料被储存在其中一个被称为“Secure Enclave(安全领地)”的新型架构里,这个架构塬来就被设计来保护密码和指纹资料。Secure Enclave 的架构和 A7 晶片的其他部分完全分隔,自然也和 iOS 里的其他应用程式分隔开来,所以,任何下载到 iOS 上的应用程式都无法接触或存取指纹,指纹资料也不会被备份到 iCloud 上。
Marc Rogers 认为,比起什么安全机制都没有,Touch ID 对普通使用者来说还算有保障,使用指纹辨识技术可以至少帮助我们做到以下叁点:
1. 如果小偷只是想偷 iPhone 本身,指纹辨识技术可以保护我们手机内的资料
2. 当你不小心遗失、掉落手机时可以保护手机内的资料
3. 指纹辨识技术还可以让我们免于钓鱼式的攻击
Touch ID 仍有很棒的展望与未来
做为一项安全机制的辨识技术,指纹辨识仍有些缺陷,但我们不能因为这些缺陷便放弃使用,Marc Rogers 认为,应该发挥指纹辨识的长处并找出弱点改进,指纹生物辨识技术在未来将可以增加用户资料的安全性,给予用户更好的体验。
其中一项改善弱点的方法便是启用双重认证,透过指纹辨识与 Pin 码 ,结合两者的长处与短处,将为个人的手机带来更多的保障。不过双重认证的方式与 Apple 一开始让使用者“安全并方便的进入手机操作画面”理念有些牴触,让使用者自行选择是否同时开启两项认证方式,或许是一种解决办法。
尽管?Marc Rogers 是 Touch ID 的破解者之一,但在破解的过程中让他更尊重 Touch ID 的设计,并给予他更多加强 Touch ID 的想法。虽然还有许多成长空间,他仍认为 Touch ID 是一项令人兴奋的进步,并期望 Apple 未来可以与资讯安全的产业合作,克服问题,变得更加强壮。
Via TechOrange
匿名用户
