首页 > 快讯

警惕!假指纹攻击安全系统漏洞

2021-07-29 15:29:16      西盟科技资讯   


  假指纹破解指纹识别

  2016年,美国密歇根州立大学利用特殊的墨水和纸张2D打印出假指纹,成功骗过了三星Galaxy S6和华为荣耀7的指纹识别系统,此后不久,该团队通过3D打印,制作出带有指纹的手模型,再次成功骗过指纹扫描仪,2019年,一位网友更是仅花费几分钟时间,就用3D假指纹攻破了 Galaxy S10 的指纹传感器。

  在此之前,景联文科技从2012年成立开始就研究指纹防伪算法和指纹呈现攻击的手段,主要指纹攻击手段有2D假指纹膜、2.5D假指纹膜、3D假指纹膜,可以破解电容,光学,屏下光学传感器等。

  指纹识别技术在门锁解锁、手机解锁、网络支付等场景都有着广泛使用,基于人的指纹信息进行身份识别,是目前生物识别市场占有率最高的技术。根据前瞻产业研究院发布的2020年《中国生物识别技术行业市场调研与投资预测分析报告》,指纹识别市场占有率占比达58%,预计到2023年,会有超过15亿的移动用户依赖生物识别安全,近60%的企业使用指纹扫描技术。

  假指纹攻击方式

  主动攻击:自己本人制作自己的假指纹膜攻击传感器。

  主要场景:让他人用自己的假指纹膜进行考勤打卡等。

  被动攻击:他人通过主体遗留在手机、门锁表面的指纹印记,通过技术手段制作的假指纹膜攻击传感器。

  主要场景:手机丢失后制作假指纹膜,破解手机。

  提升指纹识别安全性,一定要有专业算法

  想要提升指纹识别的安全性,核心在于专业的指纹识别算法。景联文科技从2012年开始申请了多项指纹防伪算法的专利,既有深度学习的方案也有传统算法的方案来匹配不同的应用场景。

  如何判断一套指纹识别算法的优劣性?有两个重要指标,FRR(False Rejection Rate)错误拒绝率和FAR(False Acceptance Rate)错误接受率,通过针对指纹识别呈现攻击的检测,评估该套指纹识别系统的错误接受率和错误识别率是否达到一定标准。

  FAR / FRR 测试依赖于真假指纹数据集,而真假指纹数据集由采集获得。

  假体指纹攻击测试用到的假指纹主要包括2D、2.5D、3D假指纹。

  2D假指纹,又叫平面假指纹,包括打印指纹,拓印指纹,残迹指纹,显影指纹和导电材料指纹图片等。2.5D假指纹,又叫非配合的模拟假指纹。3D假指纹,又叫立体假指纹,包括通过2D指纹图像和真手指倒模制作的具备深度信息的假指纹,如果从导电与非导电进行分类,非导电假体包括硅胶指模,明胶指模等,导电假体包括电容硅胶指模等。

  景联文科技为众多企业提供假指纹数据集的采集服务,目前采集过的2D假指纹材料超过70多种,2.5D假指纹材料超过30多种,3D假指纹材料超过60多种,总计超过160余种,除了粉底液、眼影、眉笔等日常常见的假指纹材料,还可以完成高精尖材料比如银水打印纸等假指纹材料的采集项目。

  除了假指纹,假体指纹攻击测试也需要采集真指纹数据集进行注册和比对。

  真指纹采集对测试人员的指纹样本多样性要求比较高,采集环境分类众多,包括干燥环境,湿润环境,低温环境,强光环境下,以及不同角度,不同力度按压的采集方式。

  对于真指纹景联文科技也拥有丰富的采集经验和采集资源,在杭州萧山区信息港的2000平方米办公楼里,配备了低温干燥箱,太阳光模拟器和其他用于采集指纹数据集的机器设备,同时每一位采集者均签属授权责任书,保证指纹数据合法合规。

  目前,景联文科技月度平均采集量已达1000人次,每月真假指纹的制作量达到10万枚,且各月增速均在20%以上,不断创下新高,服务于国内外一线的传感器厂商,终端厂商和测试公司。

  指纹自动按压检测设备

  景联文科技自主研发的指纹自动按压检测设备进行假指纹数据的采集和检测:

  功能包括:

  1.模拟人手多角度多力度按压。

  2.自动抓取和更换指纹。

  3.自动记录开锁和解锁次数。

  4.软件自动生成FRR和FAR指标。

  此套设备已被国家有关部门和检测机构采购并用于实际检测业务中,为生物识别安全长城助力。

  安全是一个相对的概念,世界上没有绝对的安全,当一种技术被普遍接受需要承担安全责任时,它就存在了被攻击的价值!景联文科技始终致力于优化指纹采集技术手段,保证更高的图像质量和保真度,为指纹识别算法提供图像信息利用度更高的真假指纹数据!

  榜单收录、高管收录、融资收录、活动收录可发送邮件至645528#qq.com(把#换成@)。

相关阅读

    无相关信息