利用不断演进的算法制作的数字虹膜伪造品可以欺骗生物识别扫描仪

虹膜扫描并非肉眼所能看到的那么简单，而这最终可能会成为虹膜扫描的败笔。本周在黑帽安全会议上公布的一项新学术研究展示了一种从虹膜扫描安全协议底层的数字代码中重建虹膜图像的方法——这些图像非常清晰，以至于可以欺骗商业级虹膜扫描安全设备，让它们误以为它们是真实的。

当虹膜扫描生物识别安全系统创建虹膜的数字印记时，它们实际上并不会存储虹膜图像以供将来与真实图像进行比较。相反，当一个人第一次将自己的虹膜扫描到生物识别系统中时，系统会将虹膜转换为由大约 5,000 位数据组成的代码。该代码基于在实际虹膜图像中测量的大约 240 个点，并且实际上就是虹膜的独特数字模拟。

然后，实际的虹膜图像将被丢弃。下次需要验证身份时，他或她将再次扫描虹膜。设备还会将此扫描转换为虹膜代码，然后比较这两个代码。如果数字代码匹配（在合理的误差范围内），则身份得到验证并允许访问。

但马德里自治大学和西弗吉尼亚大学的研究人员已经找到了一种利用遗传算法从数字代码本身逆向工程虹膜图像的方法——这种虹膜图像非常完美，可以欺骗生物识别扫描仪。遗传算法是一种每次处理数据时都会改进结果的算法。就像物种随着时间的推移而世代相传一样，它们会适应；算法的每次迭代都会生成一个虹膜图像，其虹膜代码与正在重建的代码更相似一些。经过 100-200 次迭代后，算法会生成一个虹膜图像，其虹膜代码与原始代码非常相似。

这应该引起那些依赖生物识别安全措施的人的担忧。这实际上意味着，如果包含虹膜代码的数据库遭到黑客入侵，黑客可以构建可欺骗扫描仪的虹膜图像，甚至无需接近虹膜的实际所有者。此外，黑客甚至不必入侵他们想要攻击的实体的数据库。考虑一个国防承包商，他的虹膜可以访问他公司的设施以及军事基地的禁区。想要进入军事基地的人可以入侵国防承包商，窃取虹膜代码，重建虹膜，将其打印到隐形眼镜上，然后进入军事设施。这一切都是不可能完成的任务，但根据研究，这也不是那么牵强。

更多内容请参见威胁级别。

威胁等级