自拍时举起“V 字手势”是不少人的习惯，但近年手机相机愈来愈清晰，加上 AI 影像处理能力提升，这个看似普通的动作亦引起私隐安全讨论。近日内地社交平台再度热议“自拍手势会否泄漏指纹”，有专家提醒，如果相片中手指正对镜头、距离够近、光线和对焦条件理想，理论上有机会从照片中撷取指纹纹路，再配合影像强化和制作工具，伪造出可欺骗部分指纹辨识系统的假指纹。

自拍手势也可能泄漏生物特征

很多人自拍时会自然举起“V字手”，甚至会把手指放近镜头，令画面更有互动感。不过，这种手势有一个容易被忽略的问题，就是指腹纹路有机会直接暴露在相机前。

过去相机解像度较低，即使拍到手指，也未必足以还原清楚纹路。但现时手机镜头和运算摄影技术已大幅进步，照片细节比以往清晰得多。若相片未经大幅压缩，又或者原图被上载或外泄，手指上的细微纹路便可能留下可供分析的资料。

专家指出，如果手指正面朝向镜头，拍摄距离约在 1.5 米内，加上光线充足、对焦准确，就有机会捕捉到足够指纹细节。其后再透过影像编辑软件或 AI 工具锐化、增强纹路，攻击者便可能重建部分指纹图案。

AI 令指纹重建门槛降低

“从照片偷指纹”并不是全新概念。十多年前，安全研究人员已曾示范透过高解析度照片重建指纹的可行性。不过，当年这类攻击需要较专业的设备、较严格的拍摄条件，以及繁复处理流程，对一般黑客来说门槛很高。

但近年情况开始改变。手机相机愈来愈强，AI 图像处理工具亦愈来愈易用。以前需要专业软件和经验才能完成的影像增强，现在可能透过更简单的工具完成。这代表即使攻击仍有难度，但整体门槛已比以前低。

当然，并不是每一张自拍都足以被用来伪造指纹。照片是否够清晰、手指角度是否合适、有没有模糊、光线是否足够、相片有没有被社交平台压缩，都会影响成功率。不过，风险之所以值得注意，是因为大家日常上载照片太频繁，无意中公开生物特征的机会大增。

过往已有研究示范可行性

生物辨识安全研究界过去曾有多宗相关示范。德国生物辨识研究人员 Jan Krissler 曾在 Apple Touch ID 推出不久后，示范成功绕过指纹系统。其后他亦曾利用公开场合拍摄的手部照片，展示透过公开照片重建指纹的可能性。

另有安全研究人员曾示范，只需一张指纹照片，再配合影像处理工具、打印设备和简单材料，就可制作出能欺骗部分指纹辨识系统的假指纹。这些例子并不代表所有手机或电脑都可以轻易被破解，但足以说明，指纹作为登入凭证，并非绝对不可复制。

指纹与密码最大分别，是密码外泄后可以更改，但指纹一旦被复制，基本上不能“换一组新指纹”。这正是生物辨识资料最需要保护的地方。

黑客盗取指纹资料有甚么用？

黑客盗取指纹资料，最直接用途是尝试绕过指纹解锁。例如部分手机、平板、手提电脑、门禁系统或保险箱，如果只依赖指纹作为主要验证方式，攻击者便可能尝试制作假指纹，欺骗感应器取得存取权限。

第二个用途，是配合其他已外泄资料进行身份攻击。现时很多人已经有电邮、电话号码、身份资料、相片或社交帐户资料外泄风险。如果再加上指纹这类生物特征，攻击者可建立更完整的个人资料档案，用于更精准的诈骗、身份冒用或社交工程攻击。