拍照喜歡比剪刀手的人要注意了！

今天上午，在國家網絡安全宣傳周上海地區活動上，上海信息安全行業協會副主任張威給出一個嚇人的提醒：拍照時如果鏡頭距離夠近，“剪刀手”照片通過照片放大和人工智能技術，就能將人物的指紋信息還原出來。

此言一出，在網上掀起了激烈的討論，有網友戲稱：“剪刀手，永別了。”還有的恍然大悟：“難怪有人的剪刀手反著的手背向外。”有的還開玩笑，以后拍照干脆握拳，為了保護臉部信息還要戴面罩。

不少網友聽到這個消息

就慌了——

還有網友想好了應對妙招——

心疼這幾位朋友……

玩笑歸玩笑，倘若靠拍照就能輕易獲取他人指紋，并用于違法犯罪，那么無論是對于信息安全還是財產、生命安全都是一個巨大威脅。

“剪刀手”有風險的說法很早就有

按照張威的說法，“剪刀手”很容易泄露身份信息，“基本上1.5米內拍攝的剪刀手照片就能100%還原出被攝者的指紋，在1.5米-3米的距離內拍攝的照片能還原出50%的指紋，只有超過3米拍攝的照片才難以提取其中的指紋。”

所以他提醒，不但不要向陌生人提供自己的指紋、不在不可信的設備上錄入自己的指紋外，而且不要在3米內拍攝“剪刀手”照片，帶有自己指紋信息的照片不要在網上亂發。另外，家里若是有指紋門鎖，盡量設置指紋加口令的雙因子方式打開，才能保證安全。

實際上，這已經不是“剪刀手”第一次和指紋識別尷尬“相遇”。最早是在2014年，德國一場黑客聯盟會議上，有黑客組織從網上下載了一組德國國防部長的高清照片，他們從中挑選了幾張包含手部特寫信息的，用一款專門識別指紋的軟件，就提取到了德國國防部長的指紋。

不過，這個組織并沒有將這一研究通過真實實例驗證。也即他們拿到了指紋也沒去干什么壞事，只是通過這樣的方法提醒全網，要注意指紋的安全。

在國內引發更多熱議的是3年后。2017年，日本國立信息學研究所給出的研究結論。他們用2040萬像素的數碼相機在不同距離拍攝人像，同樣通過照片放大和人工智能增強技術，在1.5米內拍攝的“剪刀手”照片，能夠100%還原出被攝者的指紋，在1.5米至3米內的距離內拍攝的照片，能還原出50%的被攝者指紋。

這一說法和張威的提醒一致。不過，日本這家研究所公布實驗結果似乎另有目的，因為他們隨后就聲稱開發出了一種透明紙膜，不僅能隱藏指紋，也不影響指紋解鎖。

通過拍照獲得的指紋真能解鎖嗎？

我距離拍照和指紋解鎖最近的一次是在去年5月份。當時受百度安全的邀請，有著黑客奧斯卡之稱的Defcon第一次走出美國，在北京舉辦了活動。在活動現場，百度安全一位叫灰灰（化名）的小伙子就向所有人展示了生物識別到底有多不靠譜，其中就涉及了指紋和虹膜識別。

據灰灰自己介紹，他在百度從事系統安全研究，在大學時就對拆解和研究電子產品很感興趣，畢業后從事安全方面的工作也使他額外關注各種鎖的安全。結果和小伙伴發現，目前市場上各個廠家極力推廣的指紋和虹膜識別都存在很大漏洞。

現場，他用一些簡單的材料和設備，幾分鐘內就“復制”出了一枚指紋，拿著它們無論是打開手機還是打開指紋鎖都沒有問題。“采集這些指紋也很容易，比如一個人按的手印，拍照下來就能制作一枚指紋，或者用一個高倍照相機也能實現。”

聽到這是不是有點慌？對于“復制”指紋的過程，灰灰強調了兩點：首先，對照片的精度和亮度有要求，放大后不能很暗也不能模糊，這樣才能夠獲取精準的指紋信息。換句話說，這件事通過大部分手機是完成不了的，何況現在許多手機還自帶美顏功能，別說指紋了，連抬頭紋都被美顏了。

所以，拍照獲取指紋，聽上去簡單，除非是有人刻意為之，且擁有專業的攝影器材，否則也很難成功。

其次，拿到指紋后做的硅膠指模，只能用來解鎖沒有“活體指紋識別”的手機或者智能鎖，并不是所有鎖都能被輕易破解。這么一來，能不能解鎖，問題就拋給了手機和智能鎖本身。

光學識別容易被假手指欺騙

郎先生在杭州做了10多年智能鎖的生意。據他了解，市面上的指紋鎖的識別大致分兩種，一種是光學識別，一種是半導體識別，常說的電容識別就屬于這一種。

兩種方式的區別在于：前者利用光線反射，相當于給指紋“拍照”；后者采用“活體指紋識別”，利用人體真皮組織的電特性，獲取真人手指的持續有效的指紋特征值數據。

光從兩種方式的技術原理就能看出，哪一種更容易受到假指紋的沖擊。按照郎先生的說法，半導體識別可以有效避免指紋膜、假手指的欺騙，單純的光學識別很難辨別指紋的真偽。目前，銀行業也硬性規定，一定要用“活體指紋識別”，以保證一定安全等級的活體檢測能力。

“如果說是照片獲取的指紋，那受影響的應該就是光學識別。”他表示，目前大的指紋鎖品牌普遍采用的是半導體識別，少數采用光學識別的也加入了活體指紋識別，“不過，現在做指紋鎖的廠家太多，很多小廠覺得普通家庭被人獲取指紋的可能性不大，為了節省成本就降低了安全性。”

不光是在指紋鎖領域，手機領域也存在同樣的問題。目前，常見的手機指紋識別有四種：熱敏、電容、光學和超聲波。傳統手機普遍采用電容識別，也就是HOME鍵。后來“全民屏”流行，手機廠商開始推屏下指紋識別，光學和超聲波識別技術站到了前臺。

但隨之而來的問題是，在手機屏上操作很容易因為汗漬和油漬留下指紋。之前在一年一度的“GeekPwn 極棒破解大賽”上，就有人用一張可以反光的塑料卡片就解鎖了屏下指紋鎖。原理就是通過光纖反射，指紋接收器會把屏幕上的指紋油漬誤認為是機主的手指，解除鎖定。

市面上指紋鎖的質量堪憂

雖然安全性較高的指紋鎖可以降低“剪刀手”照片帶來的風險，但目前市面上指紋鎖的經不起太多考驗。

就在最近，北京、天津、河北三地消費者協會委托中國家電研究院對網售智能門鎖進行測試，測試樣品包括三星、名門、箭牌、鹿客等28個品牌的38款智能門鎖。測試項目主要包括電磁兼容試驗、環境試驗、IC卡解鎖試驗、指紋解鎖試驗、密碼邏輯安全性和電路非正常試驗。

測試結果顯示，28個品牌的38款智能門鎖，竟然沒有任何一款智能門鎖通過所有檢測！

其中，有14款智能門鎖樣品宣稱采用活體指紋檢測技術，對假指紋可以進行防護，但檢測人員使用假指紋進行試驗時，均被輕易解鎖，涉及鹿客、海爾、箭牌、TCL、固特、金點原子、凱迪仕等多個品牌的樣品。

之前，灰灰和團隊對市面上的指紋鎖和手機都做過一些測試，也發現了類似的情況，“有的品牌聲稱采用了更好更安全的技術，但實際上還是用的最便宜最簡單的技術，因為覺得出事的概率不高。”

或許也是這個原因，從2018年至今，智能指紋鎖的質檢結果一直不太好。2018年底，國家市場監管總局對40款智能門鎖做了風險監測，25%的樣品指紋識別功能存在安全風險。

2019年5月，中國消費者協會等對29款主流智能門鎖商品開展了比較試驗，結果顯示，48.3%的樣品密碼開啟存在安全風險，50%的樣品指紋識別開啟存在安全風險，85.7%的樣品信息識別卡開啟存在安全風險，開鎖方式的安全性有待提高。

所以，在提防擺“剪刀手”泄露指紋的同時，更應該看看指紋鎖本身有沒有風險