這段時間,手機指紋安全問題被推到了風口浪尖上,據權威媒體報導,某用戶在使用小米6時無意間摔破了指紋,而後發現指紋解鎖正常,但是任何未錄入指紋的人都可以解鎖,
並且可以完成微信支付或支付寶支付。某家科技公司發現這個問題,經過多次嘗試,發現只要在指紋按鍵上塗抹導電塗層,然後原用戶解鎖一次指紋後任何人就都可以解鎖,甚至使用橘子皮也可以實現解鎖。
於是,指紋解鎖的安全隱患又一次呈現在人們面前。
上一次人們考慮指紋解鎖是否安全是在iPhone5s問世的時候,那時候蘋果公司用一份長達33頁的《iOS安全白皮書》進行說明touch ID的安全性,而根據白皮書上說的,蘋果公司在晶片中劃分了一塊安全區域(Secure Enclave)用作管理、核對、存儲使用者的指紋資訊。安全區域在系統中是完全獨立的,有特定的安全啟動順序以及軟體升級機制,當你按下指紋鍵時,touch ID會進行光柵掃描,資料會暫時存在安全區域加密記憶體裡等待向量化分析。
並且,tuoch ID會通過反復的解鎖過程中學習用戶指紋,對已有指紋模型進行完善。
那麼現在出現的指紋漏洞是什麼情況呢?其實不難理解,指紋識別區域附著了導電塗層圖案,然後在你指紋解鎖時指紋感測器上接收到了這圖案資訊,
將這圖案資訊學習進系統。並且這裡需要提一下指紋識別的邏輯問題,假設指紋錄入時可以錄入150個位點的特徵碼,解鎖時掃描到100個位點的特徵碼,只需要匹配上30個特徵碼幾率小於10ppm,那麼系統就會判定這30個特徵碼屬於同一個使用者。那麼這時候由於指紋識別出導電塗層屬於原使用者的指紋,那麼系統就會判定為解鎖成功。
所以,這個漏洞是很容易規避的,在指紋破損後用自己其他未錄入的手機嘗試是否能解鎖,如果能,那就該修手機了。而指紋正常的,平時使用時要注意指紋區域的清潔,更不要貼什麼指紋貼了。
仔細想一想指紋解鎖這風是iPhone最先吹起來的,現在iPhone X卻率先放棄指紋。細思極恐,
莫非蘋果內部人員早已發現指紋解鎖的隱患了?
或者再不放心的,換用圖案解鎖或者pin解鎖吧,下一期我們再來詳細講一下目前比較成熟的指紋解鎖方案,你們想瞭解哪些方面內容,歡迎留言。