超声波屏下指纹识别技术被攻破，成本仅千余元！

10月27日上午消息，在近日召开的GeekPwn 2019国际安全极客大赛上，腾讯安全玄武实验室披露了指纹识别领域的最新研究——自动化破解多种类型指纹识别。

腾讯方面表示，该研究通过提取用户在日常生活中留存的指纹，自动化进行克隆复原，进而通过各种指纹设备的验证。

指纹破解 攻击成本仅1000多元

腾讯安全玄武实验室研究员陈昱表示，破解采用了屏幕图像采集技术以及指纹雕刻技术，首先通过使用特殊拍照方法提取手机、门锁、考勤机等物品上的指纹，经过指纹破解APP解析形成有效指纹信息，再借助雕刻机克隆指模，最后便可使用克隆指模通过各种验证。

为了更好地传递指纹设备的安全研究，腾讯安全玄武实验室研究员陈昱在现场，邀请观众共同完成该研究项目展示。

在观众接触过一个玻璃水杯后，陈昱先是拿出手机拍摄观众留存在水杯上的指纹，随后在手机上调试之后“克隆”了一个全新的指纹，利用这个“新指纹”通过了该观众提前录好指纹的3台手机和2台考勤机的指纹识别，一共破解了使用电容、光学和超声波三种技术类型的指纹验证设备。

陈昱表示，“这次攻击成本，硬件成本加在一起1000多元，软件只是一部手机、一个指纹破解App”。指纹破解App项目的前期积累已有半年，做全类型指纹破解项目的时间则是一个多月，指纹破解App能够在小面积的指纹残影情况下提取复刻有效指纹。

这次挑战也是国际上第一次成功攻破超声波屏下指纹识别技术。

无需恐慌 完成攻破条件苛刻

不过他表示，用户无需过分恐慌，虽然该技术可对多种类型指纹识别进行自动化破解，但用户只需在日常使用中养成及时擦去指纹的习惯，即可大幅提升指纹设备安全。玄武实验室也已与多家指纹验证设备提供商进行沟通，推动该问题的解决。

他指出，完成攻破的条件苛刻，“所有攻击都是有条件的。我们今天的这个攻击，得拿到指纹，还得拿到攻击者的手机。条件其实也挺苛刻的。”

现场专家评委也表示，“现在无论是认证还是支付，其实用的都是多维度的技术，包括生物特征、环境特征、行为特征和你的历史记录。不只是指纹特征来做这件事情”，同时，用户只需在日常使用中养成及时擦去指纹的习惯，即可大幅提升指纹设备安全。

极客的本质，消灭更多的不安全

据腾讯方面介绍，腾讯安全玄武实验室带来本次自动化指纹设备破解研究之前，曾多次披露了关于生物活体检测的安全研究。腾讯安全玄武实验室此前发布了关于面部识别研究的议题，介绍了通过软件无感知的方法注入生物特征从而绕过基于攻击介质的活体检测，依托Face ID注视检测在特定场景下的设计缺陷，可以在用户闭眼的状态下解锁手机。

来自腾讯移动安全实验室的高级研究员韩紫东、韩景维，现场成功破解三款主流品牌安卓手机。选手利用最新系统手机中的漏洞进行攻击，实现在手机中自动安装、运行APP，获取手机的GPS位置信息等操作。据介绍，赛后，主办方会将相关漏洞提交至手机厂商并协助修复，腾讯移动安全实验室韩景维介绍，通过对手机等智能硬件的漏洞研究及破解，能够进一步帮助手机厂商提升设备的安全性，以保证手机等智能设备不被恶意入侵。

腾讯副总裁丁珂在GeekPwn致辞中表示，伴随着产业互联网的到来，极客们开始进入了攻防“下一战”，也将他们肩负的安全使命推向了更加重要的地位。安全的本质，是人和人的对抗，其实就是攻防。

丁珂称，产业互联网时代，安全的重要性已经被提到前所未有的高度，安全需求也将迎来爆发式增长。通过多年的积累与沉淀，今天的GeekPwn已经成为了全球首个关注智能生活的安全极客平台、全球首个探索人工智能与专业安全的前沿平台、全球首个产业安全实战操练地。可以预见，它作为一个始终关注前沿安全议题的专业平台，在产业层面对前沿攻防的研究、对安全威胁的预演，对安全技术的探索，将在产业互联网中发挥更大的“护航”作用。

责编：Yvonne Geng