拍照喜歡比剪刀手的人要注意了！

今天上午，在國(guó)家網(wǎng)絡(luò)安全宣傳周上海地區(qū)活動(dòng)上，上海信息安全行業(yè)協(xié)會(huì)副主任張威給出一個(gè)嚇人的提醒：拍照時(shí)如果鏡頭距離夠近，“剪刀手”照片通過(guò)照片放大和人工智能技術(shù)，就能將人物的指紋信息還原出來(lái)。

此言一出，在網(wǎng)上掀起了激烈的討論，有網(wǎng)友戲稱：“剪刀手，永別了。”還有的恍然大悟：“難怪有人的剪刀手反著的手背向外。”有的還開(kāi)玩笑，以后拍照干脆握拳，為了保護(hù)臉部信息還要戴面罩。

不少網(wǎng)友聽(tīng)到這個(gè)消息

就慌了——

還有網(wǎng)友想好了應(yīng)對(duì)妙招——

心疼這幾位朋友……

玩笑歸玩笑，倘若靠拍照就能輕易獲取他人指紋，并用于違法犯罪，那么無(wú)論是對(duì)于信息安全還是財(cái)產(chǎn)、生命安全都是一個(gè)巨大威脅。

“剪刀手”有風(fēng)險(xiǎn)的說(shuō)法很早就有

按照張威的說(shuō)法，“剪刀手”很容易泄露身份信息，“基本上1.5米內(nèi)拍攝的剪刀手照片就能100%還原出被攝者的指紋，在1.5米-3米的距離內(nèi)拍攝的照片能還原出50%的指紋，只有超過(guò)3米拍攝的照片才難以提取其中的指紋。”

所以他提醒，不但不要向陌生人提供自己的指紋、不在不可信的設(shè)備上錄入自己的指紋外，而且不要在3米內(nèi)拍攝“剪刀手”照片，帶有自己指紋信息的照片不要在網(wǎng)上亂發(fā)。另外，家里若是有指紋門鎖，盡量設(shè)置指紋加口令的雙因子方式打開(kāi)，才能保證安全。

實(shí)際上，這已經(jīng)不是“剪刀手”第一次和指紋識(shí)別尷尬“相遇”。最早是在2014年，德國(guó)一場(chǎng)黑客聯(lián)盟會(huì)議上，有黑客組織從網(wǎng)上下載了一組德國(guó)國(guó)防部長(zhǎng)的高清照片，他們從中挑選了幾張包含手部特寫信息的，用一款專門識(shí)別指紋的軟件，就提取到了德國(guó)國(guó)防部長(zhǎng)的指紋。

不過(guò)，這個(gè)組織并沒(méi)有將這一研究通過(guò)真實(shí)實(shí)例驗(yàn)證。也即他們拿到了指紋也沒(méi)去干什么壞事，只是通過(guò)這樣的方法提醒全網(wǎng)，要注意指紋的安全。

在國(guó)內(nèi)引發(fā)更多熱議的是3年后。2017年，日本國(guó)立信息學(xué)研究所給出的研究結(jié)論。他們用2040萬(wàn)像素的數(shù)碼相機(jī)在不同距離拍攝人像，同樣通過(guò)照片放大和人工智能增強(qiáng)技術(shù)，在1.5米內(nèi)拍攝的“剪刀手”照片，能夠100%還原出被攝者的指紋，在1.5米至3米內(nèi)的距離內(nèi)拍攝的照片，能還原出50%的被攝者指紋。

這一說(shuō)法和張威的提醒一致。不過(guò)，日本這家研究所公布實(shí)驗(yàn)結(jié)果似乎另有目的，因?yàn)樗麄冸S后就聲稱開(kāi)發(fā)出了一種透明紙膜，不僅能隱藏指紋，也不影響指紋解鎖。

通過(guò)拍照獲得的指紋真能解鎖嗎？

我距離拍照和指紋解鎖最近的一次是在去年5月份。當(dāng)時(shí)受百度安全的邀請(qǐng)，有著黑客奧斯卡之稱的Defcon第一次走出美國(guó)，在北京舉辦了活動(dòng)。在活動(dòng)現(xiàn)場(chǎng)，百度安全一位叫灰灰（化名）的小伙子就向所有人展示了生物識(shí)別到底有多不靠譜，其中就涉及了指紋和虹膜識(shí)別。

據(jù)灰灰自己介紹，他在百度從事系統(tǒng)安全研究，在大學(xué)時(shí)就對(duì)拆解和研究電子產(chǎn)品很感興趣，畢業(yè)后從事安全方面的工作也使他額外關(guān)注各種鎖的安全。結(jié)果和小伙伴發(fā)現(xiàn)，目前市場(chǎng)上各個(gè)廠家極力推廣的指紋和虹膜識(shí)別都存在很大漏洞。

現(xiàn)場(chǎng)，他用一些簡(jiǎn)單的材料和設(shè)備，幾分鐘內(nèi)就“復(fù)制”出了一枚指紋，拿著它們無(wú)論是打開(kāi)手機(jī)還是打開(kāi)指紋鎖都沒(méi)有問(wèn)題。“采集這些指紋也很容易，比如一個(gè)人按的手印，拍照下來(lái)就能制作一枚指紋，或者用一個(gè)高倍照相機(jī)也能實(shí)現(xiàn)。”

聽(tīng)到這是不是有點(diǎn)慌？對(duì)于“復(fù)制”指紋的過(guò)程，灰灰強(qiáng)調(diào)了兩點(diǎn)：首先，對(duì)照片的精度和亮度有要求，放大后不能很暗也不能模糊，這樣才能夠獲取精準(zhǔn)的指紋信息。換句話說(shuō)，這件事通過(guò)大部分手機(jī)是完成不了的，何況現(xiàn)在許多手機(jī)還自帶美顏功能，別說(shuō)指紋了，連抬頭紋都被美顏了。

所以，拍照獲取指紋，聽(tīng)上去簡(jiǎn)單，除非是有人刻意為之，且擁有專業(yè)的攝影器材，否則也很難成功。

其次，拿到指紋后做的硅膠指模，只能用來(lái)解鎖沒(méi)有“活體指紋識(shí)別”的手機(jī)或者智能鎖，并不是所有鎖都能被輕易破解。這么一來(lái)，能不能解鎖，問(wèn)題就拋給了手機(jī)和智能鎖本身。

光學(xué)識(shí)別容易被假手指欺騙

郎先生在杭州做了10多年智能鎖的生意。據(jù)他了解，市面上的指紋鎖的識(shí)別大致分兩種，一種是光學(xué)識(shí)別，一種是半導(dǎo)體識(shí)別，常說(shuō)的電容識(shí)別就屬于這一種。

兩種方式的區(qū)別在于：前者利用光線反射，相當(dāng)于給指紋“拍照”；后者采用“活體指紋識(shí)別”，利用人體真皮組織的電特性，獲取真人手指的持續(xù)有效的指紋特征值數(shù)據(jù)。

光從兩種方式的技術(shù)原理就能看出，哪一種更容易受到假指紋的沖擊。按照郎先生的說(shuō)法，半導(dǎo)體識(shí)別可以有效避免指紋膜、假手指的欺騙，單純的光學(xué)識(shí)別很難辨別指紋的真?zhèn)巍Ｄ壳埃y行業(yè)也硬性規(guī)定，一定要用“活體指紋識(shí)別”，以保證一定安全等級(jí)的活體檢測(cè)能力。

“如果說(shuō)是照片獲取的指紋，那受影響的應(yīng)該就是光學(xué)識(shí)別。”他表示，目前大的指紋鎖品牌普遍采用的是半導(dǎo)體識(shí)別，少數(shù)采用光學(xué)識(shí)別的也加入了活體指紋識(shí)別，“不過(guò)，現(xiàn)在做指紋鎖的廠家太多，很多小廠覺(jué)得普通家庭被人獲取指紋的可能性不大，為了節(jié)省成本就降低了安全性。”

不光是在指紋鎖領(lǐng)域，手機(jī)領(lǐng)域也存在同樣的問(wèn)題。目前，常見(jiàn)的手機(jī)指紋識(shí)別有四種：熱敏、電容、光學(xué)和超聲波。傳統(tǒng)手機(jī)普遍采用電容識(shí)別，也就是HOME鍵。后來(lái)“全民屏”流行，手機(jī)廠商開(kāi)始推屏下指紋識(shí)別，光學(xué)和超聲波識(shí)別技術(shù)站到了前臺(tái)。

但隨之而來(lái)的問(wèn)題是，在手機(jī)屏上操作很容易因?yàn)楹節(jié)n和油漬留下指紋。之前在一年一度的“GeekPwn 極棒破解大賽”上，就有人用一張可以反光的塑料卡片就解鎖了屏下指紋鎖。原理就是通過(guò)光纖反射，指紋接收器會(huì)把屏幕上的指紋油漬誤認(rèn)為是機(jī)主的手指，解除鎖定。

市面上指紋鎖的質(zhì)量堪憂

雖然安全性較高的指紋鎖可以降低“剪刀手”照片帶來(lái)的風(fēng)險(xiǎn)，但目前市面上指紋鎖的經(jīng)不起太多考驗(yàn)。

就在最近，北京、天津、河北三地消費(fèi)者協(xié)會(huì)委托中國(guó)家電研究院對(duì)網(wǎng)售智能門鎖進(jìn)行測(cè)試，測(cè)試樣品包括三星、名門、箭牌、鹿客等28個(gè)品牌的38款智能門鎖。測(cè)試項(xiàng)目主要包括電磁兼容試驗(yàn)、環(huán)境試驗(yàn)、IC卡解鎖試驗(yàn)、指紋解鎖試驗(yàn)、密碼邏輯安全性和電路非正常試驗(yàn)。

測(cè)試結(jié)果顯示，28個(gè)品牌的38款智能門鎖，竟然沒(méi)有任何一款智能門鎖通過(guò)所有檢測(cè)！

其中，有14款智能門鎖樣品宣稱采用活體指紋檢測(cè)技術(shù)，對(duì)假指紋可以進(jìn)行防護(hù)，但檢測(cè)人員使用假指紋進(jìn)行試驗(yàn)時(shí)，均被輕易解鎖，涉及鹿客、海爾、箭牌、TCL、固特、金點(diǎn)原子、凱迪仕等多個(gè)品牌的樣品。

之前，灰灰和團(tuán)隊(duì)對(duì)市面上的指紋鎖和手機(jī)都做過(guò)一些測(cè)試，也發(fā)現(xiàn)了類似的情況，“有的品牌聲稱采用了更好更安全的技術(shù)，但實(shí)際上還是用的最便宜最簡(jiǎn)單的技術(shù)，因?yàn)橛X(jué)得出事的概率不高。”

或許也是這個(gè)原因，從2018年至今，智能指紋鎖的質(zhì)檢結(jié)果一直不太好。2018年底，國(guó)家市場(chǎng)監(jiān)管總局對(duì)40款智能門鎖做了風(fēng)險(xiǎn)監(jiān)測(cè)，25%的樣品指紋識(shí)別功能存在安全風(fēng)險(xiǎn)。

2019年5月，中國(guó)消費(fèi)者協(xié)會(huì)等對(duì)29款主流智能門鎖商品開(kāi)展了比較試驗(yàn)，結(jié)果顯示，48.3%的樣品密碼開(kāi)啟存在安全風(fēng)險(xiǎn)，50%的樣品指紋識(shí)別開(kāi)啟存在安全風(fēng)險(xiǎn)，85.7%的樣品信息識(shí)別卡開(kāi)啟存在安全風(fēng)險(xiǎn)，開(kāi)鎖方式的安全性有待提高。

所以，在提防擺“剪刀手”泄露指紋的同時(shí)，更應(yīng)該看看指紋鎖本身有沒(méi)有風(fēng)險(xiǎn)