指紋開機, 指紋手機支付, 對於很多手機一族來說, 這可能已經成為日常生活中的一部分。
不過, 最近一家蘇州公司就向國家工信部、公安部、網信辦、人民銀行四部門舉報,
你還敢放心地使用手機指紋支付嗎?
現場演示:導電筆+透明膠帶, 秒開手機指紋鎖
12日下午, 在位於蘇州獨墅湖科教創新區的這家企業實驗室內, 該公司首席技術官李揚淵向記者演示了這一破解過程。
首先, 李揚淵隨便從辦公室的員工中拿來一部手機, 用左手大拇指按在指紋解鎖鍵上, 按程式, 將手機設置成為指紋解鎖模式。
那麼, 指紋解鎖怎麼破呢?且看下麵的操作:
■ 步驟一
李揚淵拿來一段透明膠帶+一支導電筆, 用導電筆在透明膠帶上,
工作人員展示使用的是最普通的膠帶
■ 步驟二
把圖案部分對準手機指紋解鎖鍵, 將透明膠帶貼在手機上。
■ 步驟三
李揚淵用大拇指按在指紋解鎖鍵上, 將手機開屏、鎖屏, 反復三次後, 再將手機調至鎖屏狀態。
最後, 李揚淵將食指按在指紋解鎖鍵上。
手機被成功解鎖
李揚淵又用他的其他8個指頭, 成功將這部手機解鎖。 他甚至還拿了一塊海綿清洗布, 按在手機指紋解鎖鍵上, 也成功解鎖。
“海綿清洗布只是一個道具而已,
“隱私洩露只是一部分”, 李揚淵告訴記者, 如果手機上的支付方式, 採用的是指紋支付, 那就意味著面臨財產損失的安全隱患。 “別人可以輕鬆地用這個方式, 將你微信、支付寶和網銀帳戶裡的錢, 成功轉移走。 ”
記者瞭解到, 目前微信、支付寶, 包括一些銀行的手機帳戶, 確實是採用了指紋這個方式進行支付和轉帳。
揭秘:為什麼能做到任意解鎖?
李揚淵告訴記者, 其實現在我們將手機設置成為指紋解鎖的模式,
多次按下那個手指後, 就是在手機本地資料庫裡, 對這些圖案, 進行多次識別、對比和存儲, 最終成功將這些圖案集納固定在手機本地資料庫裡。
“通過這個方式, 我們將手機設置成指紋解鎖模式後, 當我們用手指再次按在解鎖鍵上時, 系統將採集到的圖案資訊和資料庫裡的圖案資訊進行對比, 如果達到了手機軟體當初設定的相似度, 就可以成功將手機解屏。 ”
但, 問題恰恰就出現在這裡。
■ 一段膠帶“偷樑換柱”
“手機的指紋識別, 並不是我們想像中的那樣100%比對一致才會驗證通過解鎖, 可能只要20%左右就可以了。 ”李揚淵說, 當手機的指紋按鍵貼上動了手腳的膠帶後,機主用手指按鍵時,通過感測器,手機就會生成新的指紋圖案。新指紋圖案等於導電液圖案,加上機主手指指紋,在機主連續鎖屏,再指紋解鎖開機之後,智慧機的學習功能,就能讓它“機靈”地記住了新的、帶有導電液圖案的指紋圖。這時,機主的任何一根手指或任何人的手指去進行指紋解鎖,會形成一個個帶著同樣導電液圖案的新指紋,而手機只識別這個導電液圖案就解鎖放行。
■ 可怕的風險
“手機指紋識別系統上的這個漏洞,其實蠻可怕的。”李揚淵說,比如有人可以利用修手機時的指紋貼來盜取識別。“指紋貼是防手汗的,貼上去以後發現不怎麼好用,商家會建議你重新錄入一遍指紋,這時候你要是再重新錄入一遍指紋,那就中招了。”
“用導電筆事先在指紋貼上畫上幾筆就行,只要貼了這層膜,手機也可以解鎖。”原來,手機的指紋識別軟體,會把導電塗料的圖案也識別成主人指紋的一部分。之後,別人的手指再按上去,雖然一半的指紋不對,但導電塗料的圖案卻被識別為指紋,從而手機被解鎖。
■ 本質是圖像識別解鎖
李揚淵認為,目前包括蘋果在內的指紋演算法供應商,只是做了指紋認識,而不是嚴格意義上的指紋識別。
在採訪中,記者得知,李揚淵他們之所以會發現這個指紋漏洞,是因為2017年下半年他看到一則新聞報導——一位元機主有一次將安卓機摔壞了,指紋鍵形成永久裂紋後,那部手機卻變為人人能解鎖了。“以前一般情況下,我們會以為這是個個案,是巧合。後來我們深入一研究,卻發現是這個漏洞造成的。”
追問:為何會有這樣的漏洞?
製造商之所以要降低手機指紋的識別度,在李揚淵看來,第一,可能是考慮客戶的舒適度。“識別度低,解起鎖來,成功率高,客戶用起來也更方便。否則的話,如果製造商提高識別度,解鎖通過率會低,讓客戶感覺不方便。”
當然,李揚淵也表示,他們也不能排除有一種可能,就是手機這一指紋識別軟體系統的供應商,軟體製作業務水準不夠,才造成了如此大的安全性漏洞。
李揚淵告訴記者,目前關於手機這塊,主要是工信部在管理,而管理範圍又主要集中在手機入網和通信品質等方面。指紋解鎖這些安防上的日常監管和市場准入,主管部門則是公安部門。“換句話說,目前管理手機的部門,恰恰在指紋解鎖方面不是很專業。而專業的部門,恰恰又不是目前的監管部門。”
最後提個醒:日常生活中,別讓你的手機離開你的視線!這樣,基本上就不會給別有用心者機會,在你手機上做手腳來破解你的指紋鎖。
往期回顧
當手機的指紋按鍵貼上動了手腳的膠帶後,機主用手指按鍵時,通過感測器,手機就會生成新的指紋圖案。新指紋圖案等於導電液圖案,加上機主手指指紋,在機主連續鎖屏,再指紋解鎖開機之後,智慧機的學習功能,就能讓它“機靈”地記住了新的、帶有導電液圖案的指紋圖。這時,機主的任何一根手指或任何人的手指去進行指紋解鎖,會形成一個個帶著同樣導電液圖案的新指紋,而手機只識別這個導電液圖案就解鎖放行。■ 可怕的風險
“手機指紋識別系統上的這個漏洞,其實蠻可怕的。”李揚淵說,比如有人可以利用修手機時的指紋貼來盜取識別。“指紋貼是防手汗的,貼上去以後發現不怎麼好用,商家會建議你重新錄入一遍指紋,這時候你要是再重新錄入一遍指紋,那就中招了。”
“用導電筆事先在指紋貼上畫上幾筆就行,只要貼了這層膜,手機也可以解鎖。”原來,手機的指紋識別軟體,會把導電塗料的圖案也識別成主人指紋的一部分。之後,別人的手指再按上去,雖然一半的指紋不對,但導電塗料的圖案卻被識別為指紋,從而手機被解鎖。
■ 本質是圖像識別解鎖
李揚淵認為,目前包括蘋果在內的指紋演算法供應商,只是做了指紋認識,而不是嚴格意義上的指紋識別。
在採訪中,記者得知,李揚淵他們之所以會發現這個指紋漏洞,是因為2017年下半年他看到一則新聞報導——一位元機主有一次將安卓機摔壞了,指紋鍵形成永久裂紋後,那部手機卻變為人人能解鎖了。“以前一般情況下,我們會以為這是個個案,是巧合。後來我們深入一研究,卻發現是這個漏洞造成的。”
追問:為何會有這樣的漏洞?
製造商之所以要降低手機指紋的識別度,在李揚淵看來,第一,可能是考慮客戶的舒適度。“識別度低,解起鎖來,成功率高,客戶用起來也更方便。否則的話,如果製造商提高識別度,解鎖通過率會低,讓客戶感覺不方便。”
當然,李揚淵也表示,他們也不能排除有一種可能,就是手機這一指紋識別軟體系統的供應商,軟體製作業務水準不夠,才造成了如此大的安全性漏洞。
李揚淵告訴記者,目前關於手機這塊,主要是工信部在管理,而管理範圍又主要集中在手機入網和通信品質等方面。指紋解鎖這些安防上的日常監管和市場准入,主管部門則是公安部門。“換句話說,目前管理手機的部門,恰恰在指紋解鎖方面不是很專業。而專業的部門,恰恰又不是目前的監管部門。”
最後提個醒:日常生活中,別讓你的手機離開你的視線!這樣,基本上就不會給別有用心者機會,在你手機上做手腳來破解你的指紋鎖。
往期回顧