北京时间5月23日早间消息，据美国科技媒体ZDNet报道，一项新的设备指纹识别技术可以使用出厂时设置的详细传感器校准信息，跟踪互联网上的Android和iOS设备，任何应用或网站都可以在没有特殊权限的情况下获取这些信息。 这种新技术称为校准指纹识别攻击或SensorID，它通过使用iOS上的陀螺仪和磁力计传感器的校准细节来实现；也可以使用Android设备上的加速度计、陀螺仪和磁力计传感器的校准细节。 根据英国剑桥大学的一个学术团队的说法，SensorID对iOS设备的影响大于对Android设备的影响。原因是苹果喜欢在其工厂生产线上校准iPhone和iPad传感器，但却只有少数Android供应商通过这一过程来提高智能手机传感器的准确性。 研究小组在昨天发表的一份研究报告中说：“我们的方法是通过仔细分析来自传感器的数据，这无需对网站和应用程序提供任何特殊许可即可访问。” “我们的分析推断出制造商嵌入到智能手机固件中的每个设备的工厂校准数据，他们通过这种方法来补偿系统制造失误。”研究人员说。 然后，该校准数据可以当做指纹，产生唯一标识符，广告或分析公司可以使用该标识符来跟踪用户的上网情况。 此外，由于校准传感器指纹在使用应用程序或网站提取时都是相同的，因此该技术还可用于跟踪用户在浏览器和第三方应用程序之间的切换，允许分析公司全面了解用户的设备使用情况。 “提取校准数据通常需要不到一秒的时间，并且不依赖于设备的位置或方向。”研究人员说，“我们还尝试在不同位置和不同温度下测量传感器数据，我们确认这些因素也不会改变SensorID。” 即使在重置出厂设置之后，传感器校准指纹也永远不会改变，从而允许跟踪实体把访问标识符作为不变的唯一IMEI码。 此外，由于无需获取特殊权限，因此用户无法察觉这种类型的跟踪。 发现这种新跟踪载体的三人研究小组表示，他们分别于2018年8月和2018年12月通知了苹果和谷歌。 苹果在今年3月发布iOS 12.2修补了这个问题。但谷歌只告诉研究人员他们会展开调查。之所以出现这种情况，很可能是因为iOS设备比Android智能手机更容易受到这种类型的跟踪。(书聿)   （稿源：，稿件以及封面源自网络。）

据外媒报道，根据文件和两名爆料者的说法，FBI 及美国 18000 个执法机构所用的指纹分析软件都含有由跟克里姆林宫关系密切的俄罗斯公司开发的代码。这引发了人们的担忧，他们担心俄罗斯黑客将会获得数百万名美国人的敏感生物信息甚至可能还会危机到更加广泛的国家安全问题和执法部门计算机系统。 据爆料者透露，被植入俄罗斯代码的指纹分析软件由一家法国公司开发，他们此前都曾为这家公司工作过。两名爆料者称，这家公司系巴黎大企业 Safran 的子公司，而它刻意向FBI隐瞒了其购买了俄罗斯代码的秘密交易一事。 根据美国有关部门的说法，近些年，俄罗斯黑客获取了包括民主党全国委员会邮件服务器、核能源公司系统、美国参谋长联席会议非机密计算机等访问权限。 今年 9 月，美国国土安全局下令所有联邦机构停止使用由俄罗斯公司卡巴斯基实验室开发的产品。据媒体报道称，俄罗斯黑客利用该软件盗取了美国情报项目的敏感信息。不过这家公司的创始人 Eugene V. Kaspersky 否认了这一指控，公司甚至还提交了软件和未来更新的代码。但即便如此，美方仍认为他们做的还不够。 针对最新曝出的指纹分析软件，网络安全专家们表示，如果不检查代码本身就将无法评估俄罗斯代码将带来的危害。美国 NSA 精英网络情报部门营运政策主任 Tim Evans 表示，使用这款跟俄罗斯联邦安全局( FSB )存有联系的软件让他感到紧张。 FBI 指纹识别技术于 2011 年公布，它被视为是下一代身份识别的一部分。美国运输安全管理局 ( TSA ) 同样也依靠 FBI 的这套指纹数据库。 爆料者称，为了赢得 FBI 的这份合同，Safran 子公司 Sagem Sécurité 将名字改成 Morpho 。这两位爆料者都为 Morpho 工作过，他们是曾是公司在俄罗斯的负责人 Philippe Desbois 、公司在俄罗斯的业务开发团队负责人 Georges Hala 。 另外，Desbois 和 Hala 还向外媒提供了一份在 Morpho 工作期间获得的一份法国公司跟俄罗斯公司 Papillon AO 之间签下的许可协议副本。这份协议签署时间为 2008 年 7 月 2 日，正好是 Morpho 打败全球最大生物识别公司的一年前。文件授予了那时候的 Sagem Sécurité 将 Papillon 代码合并到其公司软件再以公司自己的名义销售产品的权力。另外，文件还规定，Papillon 将为 Sagem Sécurité 提供为期五年的更新和改进服务，也就是说，双方的合同在 2013 年截止。作为回报，Sagem Sécurité 向 Papillon 支付了 380 万欧元的初始使用费，随后每年则要提供维护费。 此外，协议还规定，双方都不能向第三方泄露任何关于这笔交易的信息。 虽然 Desbois 和 Hala 都没有参与 Papillon 代码整合至公司产品的工作以及将产品销售给 FBI 的工作，但他们跟参与过代码整合的工程师谈过话。Desbois 称，多位高层都告诉他，公司卖给 FBI 的技术产品含有 Papillon 算法。 稿源：cnBeta，封面源自网络；

指纹识别几乎无所不在，但它们仍然是手机最大的安全漏洞。据外媒报道，科学家现在创造了一个更逼真手指模型，他们希望由此改进指纹识别技术。此前手指模型已经存在，但密歇根州立大学的研究人员最近创建了一种更高级的版本，可用于测试指纹扫描仪，并使其更难以被入侵。 一篇详细说明该过程的技术报告已提交 arXiv，而这篇论文还将在《 IEEE Transactions on Information Forensics and Security 》杂志上发表。 制造手指模型解锁手机并不难，其 CITER 研究人员就曾根据图像开发出 3D 打印模具；而在 2014 年的混沌电脑俱乐部（Chaos Computer Club）年度大会上，一位名为 Starbug 的安全研究人员也曾利用德国国防部长手部的高分辨率照片复制出拇指指纹。 此外，这项研究的作者 Anil Jain 长期致力于这些生物特征问题。去年，他所在的实验室用 3D 打印技术成功复制一名死者的指纹，从而帮助警方解锁手机。在这项新研究中，Jain 团队使用 3D 打印机为现实的手指模型创建了一个模具，而手指模型本身由不同类型的硅树脂和颜料制成。 在这项研究中，指纹读取器使用不同的方法。有些是利用光学扫描仪拍摄人们的指尖，看看它是否与存储的相匹配；有些使用皮肤电导率和电流创建图像，这些称为电容式扫描仪的设备可以创建更清晰的图像。另一种方法使用超声。其超声波脉冲照射在手指上，一些脉冲被吸收，一些返回到传感器。然后传感器使用机械应力检测人们指尖的细节。目前，实验室的新手指模型具有真正手指的光学、电学和机械性能。它们可用于测试光学与电容式传感器的准确度。 稿源：cnBeta，封面源自网络；

据《每日邮报》 11 日报道，自苹果 iPhone 5s 发布以来，指纹识别一直都是最安全的手机卫士，但研究人员研究发现，他们开发的“ 万能指纹 ”很轻松就能骗过指纹传感器。利用 “万能指纹”，研究人员还可以轻松解锁，进入应用完成支付。 对指纹识别安全性提出疑问的是纽约大学和密歇根州立大学的研究人员，他们开发的“ 万能指纹 ”解锁成功率高达 65%。iPhone 5s 用上指纹识别后，这项技术逐渐普及，就连普通的千元机也全面指纹化了。苹果在宣传 Touch ID 时，也称指纹识别的出错率仅为五万分之一。 虽然眼下研究人员测试时用的是计算机模拟器，并非市面上销售的智能机，但他们警告称人工物理指纹的制造技术近期提高很快。手机上的指纹识别传感器好骗也是有原因的，研究人员认为此类传感器面积较小，它们只能扫描人手指的一部分指纹，但为了解锁准确率，手机需要存储手指多个部分的指纹。此外，许多用户为了解锁方便存了多个手指的指纹。这样一来，这些碎片化指纹出现匹配错误的几率就大大提高了。虽然人类指纹独一无二，但研究人员已经在不同的指纹中找到了相同点，利用这些相同点，他们就能做出“万能指纹”。 同时，由于手机在多次识别不成功后才需要输入密码，因此犯罪分子可以制作一种五个指头都使用“万能指纹”的特殊手套。带上这样的手套，顺利解锁全世界一半的 iPhone 根本不在话下。不过，一些厂商已经意识到了问题的严重性，虹膜识别开始成为新的手机保护神，未来相信这项技术也会逐渐在智能手机上得到普及。 稿源：cnBeta、凤凰网科技，封面源自网络