虹膜原始图像是个人隐私数据的集中体现,例如正常的虹膜信息采集,应通过专用信息网/互联网络/便捷式存储媒介,按照安全模式,传输、传送图像特征到中心数据库。但由于过程中存在采集、传输、入库、比对等多个环节,还是存在隐私泄露的风险。
日前,国内某机构对一批虹膜识别仪进行了安全测试,测试发现某国内厂商所生产的虹膜识别仪的硬件部分与另一家公司的虹膜识别仪产品基本完全一致,测试结果同时表明,该产品的核心算法、图像处理及设备控制程序同样与对比的产品高度一致。
具体的测试报告以及这一问题所可能产生的安全隐患问题如下:
测试产品型号为:
北京万里红科技股份有限公司(中国)生产的WLH-Iris-JD6和WLH-Iris-JD7虹膜采集识别仪以及Iris ID System(美国)公司生产的iCAM T10虹膜采集识别设备。
虹膜设备拆机对比
1.外观
从外观上来看,万里红的WLH-Iris-JD6虹膜采集识别仪(以下简称JD6)和Iris ID的iCAM T10虹膜采集识别设备(以下简称T10)都有明确的厂家标识,外观不同,但设备USB接口出线的位置一致。
2.将采集套筒和核心模块分离后(俯视图)
JD6的核心模块与外壳通过螺丝固定,而T10的核心模块和外壳采用卡扣固定。如图红框标注的位置,可以看出来两个核心模块在相同位置都有一个凹槽和四个固定孔位,仅仅是JD6没有卡扣,而T10安装了卡扣。
3.核心模块的外观图(俯视图)
两个产品的核心模块的正面外观完全相同,镜片、开孔位置、开孔大小和开孔形状都完全相同。两个模块边沿用于定位的凸起的位置和数目也完全一致。
4.核心模块的外观图(正视图)
两个核心模块外观一样,唯一不同的如红框所示,JD6没有英文字母,T10有IrisAccess(Iris ID公司的商标)英文字样。
5.核心模块的后壳拆解图(俯视图)
拆开核心模块后,发现JD6和T10的所有螺丝孔位和外壳形状完全一致。
如红框①所示,衬板的形状完全一致,开孔位置和固定位置完全相同。
红框②③位置的接插件形状和位置完全相同。
6.核心模块的摄像头模块分解图(仰视图)
拆除掉核心模块的外壳后,露出镜头和LED所在的正面。JD6和T10都使用了两个镜头,2类LED共8颗。两个模块的镜头、LED、接插件、连接线的外观、位置、方向都一模一样,如红框①②。
7.核心模块主板对比图
核心模块主板的背面来看,接插件接口、螺丝固定孔、电感、电路板边缘覆铜的位置和形状完全一致。如图红框①②所示。
8.核心模块的主芯片细节图对比
JD6和T10的核心模块主板的主要芯片型号都是CY7C68013A,如红框①所示,主板上元器件的丝印标识的编号和位置完全一致,已焊接的元器件的外观也完全一致,例如红框②所示。
9.两台设备的驱动信息对比。
两台设备都需要安装驱动才能够正常工作,安装万里红JD6的驱动后,默认的安装目录中显示的产品型号是JD7。分别对比驱动中几个重要的文件信息如下:
1)JD6安装驱动后的驱动文件所在目录及文件列表
JD6的驱动目录中出现了“JD7”字样,如红框所示。
2)T10安装驱动后的驱动文件所在目录及文件列表
10.两台设备配套驱动的核心文件对比
1)核心算法文件Iris2Pi.dll的对比
JD6和T10核心算法库文件的基本信息完全一致,产品名称显示是美国Iris ID公司的算法库。将这个文件互换后,两个不同设备的驱动都能够正常工作。
2)JD6的libJD7EyeSeek.dll与T10的libT10EyeSeek.dll对比
这两个动态链接库是图像处理库。虽然文件名有差异,但是两者可以相互改成对方名字互相替换后,两个不同设备的驱动都能够正常工作。
从文件信息来看,libJD7EyeSeek.dll的版权完全属于美国Iris ID公司,如图红框①所示。
3)JD6的JD7Control.dll与T10的iCAMT10Control.dll对比
这两个动态链接库是设备控制程序。从文件信息来看,JD7Control.dll的文件说明中出现了iCamT10的字样,而且版权完全属于美国Iris ID公司,如图红框①②所示。
11.万里红WLH-Iris-JD6和WLH-Iris-JD7虹膜采集识别仪对比
对比万里红主要的两款虹膜设备,发现JD7与JD6硬件模块完全一样,软件驱动也一样,只是型号不同。这也解释了为什么两款产品安装之后的产品驱动都显示是JD7。
就以上测试信息可得出结论,硬件方面JD6虹膜采集识别设备与T10虹膜采集识别设备在外观及内部元件上高度一致,所使用的主要芯片型号相同;软件方面国产JD6虹膜采集识别设备所使用的核心算法库系、图像处理库,以及两个控制虹膜识别仪的动态链接库都出自美国Iris ID公司。同时,该问题在该公司的另一款JD7虹膜识别仪上同样存在。
测试证明的问题带来的安全威胁
1.虹膜图像是公民的生物特征信息,涉及国家安全,使用不具备自主知识产权的虹膜识别仪可能会造成关键信息源头上的泄露。
2.从实际工作的操作流程来看,国产JD6和JD7虹膜设备的驱动程序和算法程序与T10产品基本一致。假使程序中包含恶意代码,那么虹膜图像和虹膜特征等个人隐私信息将面临泄露风险。
3.可能存在的威胁预警
a) 软件后门
虹膜采集识别设备完成正常采集操作需要在目标操作系统上安装驱动程序,并且在日后使用过程中升级更新驱动程序。这些驱动程序驱动硬件设备,故在系统中的运行权限较高。若该驱动程序存在后门,在特定的时机触发(例如特定的时间,特定的外部信号等),可实现对目标系统和网络的全面控制和攻击。又因为驱动程序基本为二进制,实际操作内容并不透明。即使通过逆向分析等方法,也不能完全保证发现后门程序。除此以外,该后门程序还可以伪装成逻辑漏洞,即使被发现也可以推诿为系统缺陷,故通过该方式发起的攻击行为欺骗性、迷惑性都非常高,也使得防守上更为困难。
b) 硬件后门
硬件芯片由于高度集成所以无法确认芯片内的执行逻辑,虹膜设备在芯片中藏匿各种硬件执行逻辑很难被发现。若使用特定的触发机制,检测发现硬件后门是非常难的。更为严重的是,硬件芯片几乎可以完成所有软件后门程序的工作,并且无法被清除。
c) 服务后门
另一安全隐患在于,某些特定的条件下,例如特定的日期,虹膜采集过程就会采集非正确的数据,从而使数据匹配失败,不能进行正常的操作,导致整个虹膜系统瘫痪。