三星新旗艦 Galaxy S8 的虹膜辨識(shí)日前遭到破解──同時(shí)還只使用一枚隱型眼鏡，數(shù)位相機(jī)，以及雷射印表機(jī)。

破解 S8 虹膜設(shè)計(jì)的組織是德國(guó)的一個(gè)駭客組織“Chaos Computer Clubs”（CCC），實(shí)際上它們?cè)?2013 年也曾經(jīng)解鎖 iPhone 5s 的 Touch ID，那是當(dāng)代主流智慧型手機(jī)，第一支使用指紋辨識(shí)的產(chǎn)品。而此次的 Galaxy S8 則是第一款使用虹膜辨識(shí)的智慧型手機(jī)──如果不算上因?yàn)殡姵貑?wèn)題而下市的 Galaxy Note 7。

使用“假眼睛”
與當(dāng)初破解 Touch ID 的方法類似，CCC 的手法可能會(huì)讓人有些無(wú)言。此次他們破解 S8 虹膜辨識(shí)的方式，是先弄出一張有 S8 用戶眼睛的照片，可能就是一張會(huì)放在網(wǎng)路上的高解析度照片，然后再用普通的雷射印表機(jī)印出來(lái)，最后為了要模仿眼球的質(zhì)感，會(huì)在照片上放一枚隱型眼鏡，接著就可以可以騙過(guò) S8 的虹膜感測(cè)。

換句話說(shuō)，并不是想像中駭客會(huì)做的攻破手機(jī)軟硬體、再解鎖裝置，而是弄出一顆“假眼睛”，與當(dāng)初破解 Touch ID 是使用橡膠制的假手指、再貼印去除“雜質(zhì)”的指紋照片很類似。CCC 也強(qiáng)調(diào)，由于“眼睛”比起指紋更容易曝露在外，因此理論上會(huì)比指紋辨識(shí)不安全些。實(shí)際上，在手機(jī)提供的種種解鎖工具里，他們還是相信傳統(tǒng)的密碼比較安全。

CCC 也談到一些細(xì)節(jié)，比如透過(guò)一般的數(shù)位相機(jī)開(kāi)啟夜拍模式，或是把紅外線濾鏡拿掉，就可以拍到足供辨識(shí)的虹膜照片。示范中使用的數(shù)位相機(jī)則搭配 200mm 鏡頭，但必須在 5 公尺以內(nèi)的距離拍攝才會(huì)成功。

便利性與安全性的平衡
盡管如此，一般用戶應(yīng)該可以不必想太多，畢竟想突破生物辨識(shí)解鎖手機(jī)，除了必須先拿到用戶本人的手機(jī)，一般小偷大概也不會(huì)想花時(shí)間制作假手指或是假眼球。包括蘋(píng)果與三星，也都有提供遠(yuǎn)端鎖定的功能，避免手機(jī)失竊后被破解。

此外，指紋辨識(shí)等生物感測(cè)并不是要追求絕對(duì)的安全性，而是想在安全性、以及便利性之間找到平衡，同時(shí)加速行動(dòng)支付的驗(yàn)證。被 CCC 認(rèn)為較安全的密碼，實(shí)際上曾有調(diào)查指出，有高達(dá) 50% 的用戶因?yàn)橄勇闊┒鴹売?。相比之下，不需要在熒幕?lái)回輸入數(shù)字或畫(huà)圖的生物感測(cè)除了更便利，“指紋與虹膜只有自己擁有”的感受，也強(qiáng)化了使用行動(dòng)支付的說(shuō)服力。