資安科技新知:拍照時比YA,手指的指紋真的會被駭客擷取用來破解認證嗎?
在這個社群媒體圍繞的時代,每天點開手機,難免都會習慣性地分享生活片段,可能是一杯咖啡、一場旅行,或者自拍中的燦爛笑容。然而,這些看似無害的行為,是否會讓我們的個人隱私暴露在不知名的風險中呢?
一、就先來聊聊指紋:
高解析照片若拍攝到手部特寫,指紋資訊的確可能被有心人士放大擷取。有關這一點,台灣科技媒體中心(SMC)曾發表了一篇文章,詳述為什麼從照片中擷取指紋並破解系統的難度仍然很高:
- 超高解晰相片: 要擷取可用於辨識的指紋,需要極高解析度的相機和清晰的影像。目前市面上主流相機的像素仍遠低於所需規格。
- 特定指紋機型: 目前被成功破解的指紋辨識系統多為電容式或光學式的機種,若是使用超音波取得指紋的3D結構的技術,必須實際按壓才能辨識。所以從照片中取得的指紋資訊難以模擬真實按壓。
- 實驗室環境: 目前成功從照片擷取指紋的案例多是在實驗室環境下,搭配特殊材料和設備才得以實現。
二、虹膜辨識—照片與假眼睛,駭客破解的故事:
數年前,韓國手機大廠三星,就在他們的S8旗艦機種配置了號稱最完美的虹膜身分辨識系統,結果就是:只要一張照片加一片隱形眼鏡所打造的「假眼睛」,就可以輕鬆解鎖。成功破解虹膜辨識系統的駭客組織表示,由於「眼睛」比起指紋更容易曝露在外,因此理論上會比指紋辨識不安全些。因此,在手機提供的種種解鎖工具裡,他們還是相信傳統的密碼比較安全。
後來,三星在S10以後的手機就不再配置虹膜系統了。
 |
三星曾在S8旗艦手機配置紅膜辨識系統(圖片連結:TechNews 資安快報) |
三、再來就是臉部與耳朵形狀:
若照片中虹膜資訊可被擷取,那麼大家常用的Face ID,是否也將面臨這種被破解的威脅? 高解析度的臉部照片「的確可能」被用來建立 3D 模型,用於製作深偽 (Deepfake) 影片進行詐騙。那...歹徒會不會將它們用於破解iPhone的手機鎖呢?
其實,要成功建立高精度的 3D 模型仍需要克服一些挑戰,首先,和指紋一樣,需要畫質相當好的相片,配合強大的運算力等等;另外,iPhone 的 Face ID 搭載了先進的防偽技術,例如活體偵測功能、注視螢幕才能解鎖手機等,可以辨識照片、影片或面具等偽造的人臉,因此靠一張照片是很難解開手機鎖的。
檢視目前各項相關報導及資訊,可知儘管目前從照片中建立臉部3D模型,或是擷取手指照片用來破解指紋辨識系統,難度仍然很高,但至少已經提醒了我們,將自己肖像照片流傳公開時,可能造成的隱私風險。就在日前,澳門與香港都發生了立法會多位議員收到AI換臉勒索郵件的事件。勒索者利用AI技術生成議員與裸女的合成照片,藉此威脅議員,要求他們付錢以避免照片外流。
 |
澳門立法會多位議員收到AI換臉勒索郵件(圖片連結:香港點新聞) |
由此可見,我們仍應提高警覺,審慎決定自己想揭露的隱私資訊,才能放心地享受現代數位生活所帶來的便利。像前一陣子許多網友都喜歡玩的「不眨眼遊戲」,或是變臉P圖遊戲、預測未來長相的APP...等等,其實都隱約地曝露了自己臉部及眼睛的生物特徵,這時更要留意這些APP或是社交平台對個資及隱私的管理,來決定是否要把自己的隱私資料交給他們。
 |
駭客在社群媒體上取得照片之後,就可能使用生物辨識認證開啟偷到的行動裝置 |
延伸閱讀:
1.一朝外洩,終生駭怕 -社群貼文曝光的臉部、虹膜、聲音,恐出賣你(資安趨勢部落格)
2.「照相時比『V』手勢會被竊取指紋?」之專家意見 - 台灣科技媒體中心
3.【錯誤】網傳「以後拍照不要比YA!小心指紋會被歹徒盜取,進而盜竊銀行帳戶?」 - 台灣事實查核中心
留言
張貼留言