用照片也能追蹤手機？我的噪點你永遠模仿不來

就像世界上沒有兩片相同的雪花，你用手機拍攝的每張照片也是獨一無二的。布法羅大學的研究人員掌握了一種方法，可以通過分析照片來追蹤拍攝的手機，這項研究為身份驗證提供了另一種可能性——用手機拍攝的照片來識別身份。

照片噪點也能當手機的「身份證」

由于元件尺寸和襯底材料的不可控，即使是同一型號的相機也會在傳感器上有細微的差別。當均勻的光線投射到傳感器上時，每個像素輸出的值并不完全相同，這會導致圖像的某些像素或明或暗，產(chǎn)生噪點，這種成像缺陷被稱為 PRNU（光照響應不一致性）。

由于 PRNU 是由傳感器本身的物理特性引起的，所以很難完全消除，這種差異用肉眼無法察覺，但可以通過特殊的濾鏡提取，基于這些特征的不同，每個相機的每張照片都是獨一無二的。

「這就像根據(jù)子彈軌跡來追蹤槍，只不過我們是用照片來追蹤手機?！寡芯咳藛T Kui Ren 提到。

在數(shù)碼相機中，基于 PRNU 來判斷圖像來源的應用很常見，經(jīng)常用于圖片版權訴訟的取證。但整個過程需要對同一個相機拍攝的 50 張照片進行分析，所以這種驗證方法并沒有用于常見的身份識別。

不過研究人員發(fā)現(xiàn)，用 PRNU 驗證身份在智能手機中是可行的。與數(shù)碼相機相比，智能手機的圖像傳感器要小幾十倍，像素的不均勻性更明顯，所以只需要一張照片就可以完成和智能手機的匹配，而且智能手機的普及率和便攜性比數(shù)碼相機要高得多。

研究人員表示，這項技術可以成為身份驗證中的一部分，作為密碼、生物識別等驗證方法的補充。Kui Ren 設計了一個新的安全協(xié)議，用來檢測和阻止幾種常見的網(wǎng)絡攻擊。

驗證過程是這樣的，用戶在注冊一項服務時，先提供一張照片作為「PRNU 指紋」的參考，當發(fā)起一筆交易時，服務商會要求用戶拍攝 ATM 機或其他屏幕上的兩個動態(tài)二維碼，只有和用戶所留的 PRNU 信息匹配時，交易才會確認。

協(xié)議要求二維碼中要包含交易信息，如果服務商接收到的二維碼照片和用戶發(fā)起的交易不一致，身份驗證會終止，這可以防止攻擊者攔截信息，然后偽造成服務商發(fā)起惡意的交易請求。

二維碼中還包含隨機字符串和時間戳，保證二維碼不會被預測，并且是唯一的。這可以防止攻擊者非法獲取到用戶之前的二維碼照片，并借此騙過服務商。

準確率 99.5%，比指紋識別強在哪里?

隨 iPhone X 興起的人臉識別實際上并不安全，前段時間接連出現(xiàn)雙胞胎、母子甚至是同事破解 Face ID 的例子。相比人臉識別，指紋識別是目前更為成熟的驗證方案，不過仍然存在安全漏洞。

制作假手指來騙過手機的指紋識別并不難，CITER 的研究人員就曾基于一張圖像來制作 3D 打印模具。2014 年，一位黑客用德國國防部長手中的高清照片創(chuàng)建了一個指紋的替代方案。通過橡膠來偽造假手指的方法已經(jīng)能夠成功解鎖手機。

比起傳統(tǒng)的指紋識別，「PRNU 指紋」最大的優(yōu)勢就是可以防止偽造。

在個人隱私已經(jīng)越來越公開化的今天，攻擊者很容易就能從社交平臺上獲得用戶的照片，借此分析出手機的 PRNU 特征并不難。但布法羅大學的研究人員表示，他們的方案可以及時檢測和識別偽造行為。

攻擊者偽造 PRNU 特征有兩種方法，第一是直接用其他手機拍攝二維碼，再把用戶手機的 PRNU 特征添加上去，這樣照片就同時有用戶、攻擊者手機的 PRNU 特征。

這就是為什么要求拍攝兩張二維碼照片的原因：當兩張照片上同時疊加了兩種 PRNU 特征時，它們之間的的噪點相似性要高得多，如果高出正常值，服務商就可以判斷照片為偽造，身份認證就會失敗。

第二種偽造方法是用其他手機拍攝二維碼后，先去除攻擊者手機的 PRNU 特征，然后再添加用戶手機的 PRNU 特征。這樣生成的照片包含正確的二維碼，同時也有對應的 PRNU 特征。

為了檢測出攻擊者去除噪點的行為，二維碼中嵌入了半脆弱探測信號，以此來判斷二維碼照片是否為偽造，這種方法被很多圖片網(wǎng)站用來加強水印的驗證。簡單來說，攻擊者去除噪點的同時也會把探測信號去掉，服務商根據(jù)探測信號是否存在，就可以判斷照片上的 PRNU 特征是否為偽造。

研究人員用 16000 張圖片，對 30 臺 iPhone 6s 和 10 臺 Galaxy Note 5 進行了測試，身份驗證的準確率達到了 99.5%。Kui Ren 提到，未來他們還會在雙攝手機上做實驗，這會讓身份偽造更困難。

和人臉、指紋、虹膜等生物識別方式相比，用照片來追蹤手機是一個全新的概念。盡管研究人員在安全協(xié)議中已經(jīng)防范了很多被攻擊的可能，但技術的普及還要考慮商業(yè)成本和用戶接受度。

拍照驗證的操作倒是符合用戶掃碼、拍攝的習慣，但這種方式就目前來看應用場景還很少。不管是用作 ATM 取錢，還是零售店支付，人臉識別、指紋識別已經(jīng)足夠便捷。即使這項技術可以實現(xiàn)，也只能作為現(xiàn)有身份驗證的補充。