偏执狂产品

《个人电脑世界隐私观察》专栏作家安德鲁·布兰特(Andrew Brandt)试图(从左到右)欺骗Targus的Defcon验证器、松下的BM-ET1000US验证器和DigitalPersona的U.are.U 4000。《个人电脑世界隐私观察》专栏作家安德鲁·布兰特(Andrew Brandt)试图(从左到右)欺骗Targus的Defcon验证器、松下的BM-ET1000US验证器和DigitalPersona的U.are.U 4000。要愚弄一个指纹识别器,需要多少只橡皮糖熊?(根据我的研究,这个问题的答案是“大约三个”。)我知道,这听起来像个笑话。但在过去,这些甜食成功地欺骗了一些生物识别设备,让真正的手指以外的东西让用户登录到PC上。我想知道我是否可以使用普通物质(包括香甜熊)来复制我的指尖,欺骗生物识别设备。在一个测试场景中,我的实验成功了。

为了这个故事,我设计了各种各样的方法来测试两个指纹阅读器和一个虹膜识别设备。我的测试基本上是初步的,但他们证明了你不能依赖某种生物识别设备来100%的万无一失。当然,坚定的入侵者将有更复杂的方法来破坏这些设备内置的安全性。

在不科学的测试中,我用了一台IBM ThinkPad笔记本电脑,上面有三个生物识别设备:DigitalPersona的指纹阅读器U.are.U 4000,它使用光学技术,当你按下它的感应板时,它可以拍摄指尖的照片;Targus的Defcon验证器,一种指纹读取器,其电容式传感器读取其表面的电流;松下的虹膜识别系统BM-ET100US Authentica(也称为PrivateID),一种专门的网络摄像头,可以拍摄你的眼睛快照。

为了进行指纹识别测试,我使用了林恩·皮维公司生产的法医指纹工具包来记录我的指纹。我还用陶土制作了六个指尖的模型,然后在窑里烧制使之变硬。之后,我塑造了各种软家居材料,以创造虚假的指尖。

我用指纹工具箱的带子,从一张美国在线的旧CD上提取了我的指纹。我把磁带放在工具箱的卡片上,扫描这些照片,然后用高分辨率的照片打印机打印出来。我试图说服U.are.U.4000接受这些指纹,但它不配合。

接下来我试了一个用粘土做的假手指。没有骰子;U.are.U和Defcon验证器上的传感器都无法读取橡皮泥。然后我尝试了用其他普通材料制成的指尖:从艺术商店买来的液体乳胶(没有指纹的形状)、聚合物浇铸材料(太硬)和Play Doh(没有保持它的形状)。甜点明胶形成了一个很好的指尖,但当它融化在传感器上时,就变成了一团粘糊糊的、不可读的烂摊子。

假拇指:小熊胶的样本指尖。假的拇指:小熊胶的样本指尖。口香糖下一个是熊(Brach的野生水果品种)。我把它们放在一个双层锅炉里融化,一旦熊形的最后一点痕迹消失在一滩黏液中,我小心地用勺子把液体软糖(避免气泡)舀进我的陶瓷模具里,制造出又一批假指尖。

Defcon验证器的电容传感器,清楚地识别出这个物体是前乌尔修斯·古米乌斯(Ursus gummius),没能登录到我的假指纹。屏幕上一个指尖的图像确实隐约地记录了指纹的一部分——但这就是我得到的。我转到U.are.U.reader。答对 了!在我注册了拇指之后,光学阅读器接受了gummi bear仿制品作为我的Windows登录。它并没有得到每一个口香糖指纹;而且它确实读到的指纹,每次都看不清楚。但是口香糖印一次又一次地奏效了。我还设法注册了一个酸橙绿口香糖作为用户,然后用我的拇指登录。Gummi和thumb在登录时是可以互换的,尽管我的thumb没有那么好吃。

我向DigitalPersona报告了我的测试结果,DigitalPersona承认指纹读取器可能会被像香肠熊这样的物质愚弄。不过,该公司认为,以这种方式欺骗其产品的现实场景是牵强的。

为了做虹膜测试,我试着用我眼睛的照片代替我的真眼睛。一位同事用高分辨率摄像机和光学变焦镜头拍下了8张我眼睛的清晰(特写)照片。但松下的Authenticam太聪明了。相机在寻找虹膜时,会用几束红外光照亮被摄对象的脸;一张平整的有光泽的相纸根本无法像人脸那样将光线反射回相机。照相机拒绝把我的眼睛照片作为替身登入。

最终,这些设备挫败了我几乎所有试图打败它们的努力。但是gummi测试表明,你可以用非血肉之躯的东西欺骗指纹阅读器,而铁杆的窥探者会追求更先进的方法。

--安德鲁·勃兰特