小谈黑客用假手绕过基于静脉的身份验证

2019-01-0111:28:47 发表评论

据SecurityAffairs 12月30日报道,几名研究人员演示了如何利用由照片做成的假手绕过基于静脉的身份验证。

若你认为静脉识别技术完全安全,你应当了解研究团队在“混沌通信大会”黑客会议上演示的反例。

静脉识别技术可扫描肉眼看不见的手掌、手背、手指等上的静脉图像(如:用户静脉的形状、尺寸及位置),以识别用户。

人们认为该识别技术是绝对安全的,德国情报局BND在柏林新建的总部大楼也使用了该项技术。

在德国莱比锡召开的“混沌通信大会”黑客会议上,研究人员Jan Krissler(又名Starbug)与Julian Albrecht通过蜡制假手设计了一种绕过该基于静脉的身份验证的方法。

Krissler与Albrecht告诉Motherboard称,“令人不安的是,该技术被誉为高安全性系统,而你只需修改摄像头,借助一些廉价的材料便可入侵该系统。”

为用蜡制作假手,Krissler与Albrecht拍摄了一些他们皮下静脉的图片,并取下修改过的单反相机的红外滤光片。专家解释道,威胁者可利用该技术在五米外拍下手的照片。为制作一个可工作的蜡制手,“两人安全在30天内拍摄了2,500余张照片。”

Krissler解释道,“五米内都可拍出可用的照片,且可能将会参加新闻发布会并拍照。”

“第一次欺骗该系统时,其容易程度让人着实吃惊。”“通常而言,生物识别技术是一场军备赛。制造商改进了系统,黑客前来摧毁了系统,由此一切从头。”

专家向Fujitsu与Hitachi共享了其研究详情。

研究人员警告道,攻击者若持之以恒,便可利用他们测试过的技术绕过用于保护特定区域的静脉识别技术。

 

另外:成本极低!黑客制作假手破解宣称“更安全”的静脉扫描身份验证

 

比密码更安全的生物辨识技术现在已经相当盛行,其中静脉扫描虽然不及指纹普及,但就被认为是更难破解的技术。不过,最近有黑客就以低成本制作出可以破解静脉扫描的假手,而且无需接触本人就可以取得相关资料。

静脉扫描技术以用户手掌静脉的分布来确认身份,类似指纹扫描但由于血管在皮肤之下,比指纹更难复制。目前这个技术已经有在部分物业保安系统使用。不过最近来自德国的安全研究员Jan Krissler在黑客组织Chaos Computer Club的年度大会上,展示了破解静脉扫描的方式,他们使用移除红外线滤镜的相机拍摄目标的手掌,取得静脉分布资料,然后用蜡制作含有模拟静脉手部模型。这样他们已经可以破解系统。

他们表示,只要在5米内拍摄的照片已经足够取得静脉分布,而且过程所需时间和成本极低,让他们也感到惊讶。如果是资金和人手更多的组织,则可以更有效和更有规模的破解这个系统。目前他们已经向静脉验证系统生产商如Fujitsu和Hitachi报告研究细节,希望厂商可以改善技术,避免系统被轻松破解。

  • A+
所属分类:None
CE安全网
CE安全网广告位招租

发表评论

您必须登录才能发表评论!