三星 Galaxy S8 虹膜遭破解：僅使用照片與隱形眼鏡

三星新旗艦 Galaxy S8 的虹膜辨識日前遭到破解──同時還只使用一枚隱形眼鏡、數位相機，以及雷射印表機。

破解 S8 虹膜設計的是德國一個駭客組織「Chaos Computer Clubs」（CCC），實際上他們在 2013 年也曾經解鎖 iPhone 5s 的 Touch ID，那是當代主流智慧型手機，第一支使用指紋辨識的產品。此次的 Galaxy S8 則是第一款使用虹膜辨識的智慧型手機──如果不算因為電池問題下市的 Galaxy Note 7。

使用「假眼睛」

與當初破解 Touch ID 的方法類似，CCC 的手法可能讓人有些無言。此次他們破解 S8 虹膜辨識的方式，是先弄出一張有 S8 用戶眼睛的照片，可能就是一張會放在網路上的高解析度照片，然後再用普通雷射印表機印出來，最後為了要模仿眼球的質感，會在照片上放一枚隱形眼鏡，接著就可以騙過 S8 的虹膜感測。

換句話說，並不是想像中駭客會做的攻破手機軟硬體、再解鎖裝置，而是弄出一顆「假眼睛」，與當初破解 Touch ID 使用橡膠製的假手指、再貼印去除「雜質」的指紋照片很類似。CCC 也強調，由於「眼睛」比起指紋更容易曝露在外，因此理論上會比指紋辨識不安全些。實際上，在手機提供的種種解鎖工具裡，他們還是相信傳統的密碼比較安全。

CCC 也談到一些細節，比如透過一般數位相機開啟夜拍模式，或是把紅外線濾鏡拿掉，就可以拍到足供辨識的虹膜照片。示範中使用的數位相機搭配 200mm 鏡頭，但必須在 5 公尺以內距離拍攝才會成功。

便利性與安全性的平衡

儘管如此，一般用戶應該可以不必想太多，畢竟想突破生物辨識解鎖手機，除了必須先拿到用戶本人的手機，一般小偷大概也不會想花時間製作假手指或假眼球。包括蘋果與三星，也都有提供遠端鎖定功能，避免手機失竊後被破解。

此外，指紋辨識等生物感測並不是追求絕對的安全性，而是想在安全性、便利性之間找到平衡，同時加速行動支付的驗證。CCC 認為較安全的密碼，實際上曾有調查指出，有高達 50% 用戶因為嫌麻煩棄用。相比之下，不需要在螢幕來回輸入數字或畫圖的生物感測除了更便利，「指紋與虹膜只有自己擁有」的感受，也強化了使用行動支付的說服力。

值得一提的是，CCC 在破解虹膜的過程中，還諷刺他們費用最貴的器材，就是 Galaxy S8。

Chaos Computer Clubs breaks iris recognition system of the Samsung Galaxy S8