近日, 網上一篇《一塊橘子皮就能秒開你的手機指紋鎖 還能轉帳付款》的文章及視頻引起了廣泛的關注。 裡面提到, 對於需要指紋驗證的手機, 通過使用一些簡單的處理手段, 任何人的指紋都可以解鎖, 甚至一塊橘子皮都行。
央視新聞近日對這則新聞進行了報導和驗證。
指紋觸摸鍵被摔裂
任何人都能解鎖
指紋貼上做手腳
可破解手機指紋鎖
這種情況是否是因為手機被摔受損, 而導致了指紋驗證出現了誤判?而用一塊兒橘子皮就能通過指紋驗證解鎖開機, 是否能說明指紋驗證系統存在著一定的安全性漏洞呢?
記者聯繫到了這條資訊的發佈者, 在實驗室裡, 技術人員演示了這一破解過程。
技術人員:我先用這個手機錄一個指紋, 我左手的拇指錄入完畢了。 現在可以看到這裡面只有一個手指(指紋記錄), 只有我左手的拇指可以開鎖。 換一個人試一下。
記者:我解不了這個。
在經過一些處理後, 之前並沒有錄入指紋的記者, 竟然能夠解鎖開機。 隨後, 技術人員又將目前市面上一些主流品牌型號的手機逐一試驗,
桂圓、橘子皮、餐紙代替指紋
都能成功支付轉帳
除了指紋開機, 利用指紋驗證進行支付轉帳也是很多人目前經常使用的應用。
之後技術人員對記者的手機進行一些操作, 接下來除了記者本人能用指紋轉帳之外, 用桂圓、橘子皮甚至餐巾紙等物品代替指紋也同樣能夠驗證通過。
關鍵在於指紋觸摸鍵上的圖案
技術人員說,他們根據網上視頻反映的手機指紋觸摸鍵裂紋這個線索,通過在實驗室裡類比裂紋圖案,並進行了多次試驗,發現破解指紋驗證的關鍵在於指紋觸摸鍵上的圖案。
於是技術人員拿一小塊兒膠布或市面上流行的指紋貼,背面用導電筆塗抹形成圖案,貼到手機指紋驗證的部位。只要機主的指紋觸碰到這塊膠布或者指紋貼,成功解鎖開機幾次後,別人便都可以隨意開機了。
技術人員 李揚淵:裂痕本身會在感測器上形成一些圖案,而貼上的膜(膠布或指紋貼),膜上的導電介質,都會為感測器形成一定的圖案,因為這個圖案是擋在手指前面的,它就會替代了指紋。這樣的話最後的軟體系統,它收到的時候已經有了這些圖案成分的圖,它收了這個圖,它認證也是個圖,所以它也會過。
技術人員認為,指紋感測器接收到的資訊包含指紋貼上的導電塗層,並不完全是機主手指的指紋。而在進行指紋比對時,只要部分資訊相同就能通過驗證。因此只要經過處理,其他人的指紋同樣能夠驗證通過。
清華大學自動化系副教授 馮建江:早期的指紋識別技術,像身份證用的,考勤用的,還有公安刑偵破案用的,原理是看手指上面的一些細節特徵點,但這個技術現在不是手機上普遍採用的,主要是因為手機它感測器面積特別的小,資訊很少,所以說就這個行業界就開始採用一種新的方案,它是利用圖案本身。
應用指紋貼
多領域產品解鎖成功
如今,指紋驗證不僅在手機上使用,在一些型號的筆記型電腦,甚至防盜門的電子鎖上,都採用了指紋驗證的方式。那麼在這些領域裡,指紋驗證又是否存在這樣的漏洞呢?
在一款筆記型電腦上,技術人員將指紋貼背面用導電筆進行塗抹,然後貼到指紋驗證的觸摸鍵上。隨後,機主在這台電腦的系統裡設置了指紋開機,並錄入自己的指紋。接下來,由其他人打開這台電腦,用指紋試了幾次後,同樣能通過驗證並開機。
隨後,技術人員又對某款門鎖進行了試驗,發現了類似的安全隱患。
專家:
指紋觸摸鍵沒受損或貼指紋貼
就不必過分擔心
專家提示,雖然這個漏洞涉及到了不同領域的不同產品,但如果您的指紋觸摸鍵沒有受損或貼指紋貼,就可以正常使用,不必過分擔心。同時,專家也提醒大家,如果對於安全性比較在意,儘量不要使用指紋貼。另外在使用指紋驗證前最好先檢查一下觸摸鍵上是否貼有其它異物或圖案。
清華大學自動化系副教授 馮建江:肯定是得檢查一下,這是不是真的是一陷阱,肯定得把那個貼膜撕掉。如果說手機不小心摔裂了,這個時候有一個簡單的辦法,就是你試一下你的別的手指是不是也能夠解鎖成功,如果也能解鎖成功,那說明是有這個漏洞的。據瞭解,目前工信部、質檢總局等相關部門已介入調查,記者將持續關注。
專家:
橘子皮解鎖需要機主配合
實際操作性較低
關於網傳的橘子皮解鎖手機,資訊安全專家告訴記者,
網上的破解需要在機主配合的情況下才能實現,因此實際操作性較低。
如果機主不配合,其實是拿不到機主指紋的,也就無法實現橘子皮或者任意指紋解鎖。
據瞭解,目前手機上普遍採用的指紋識別技術,是利用感測器捕捉指紋的圖像資訊。這一方式的最大漏洞在於,部分指紋廠商採用圖像演算法技術路線,所以不需要完整捕捉指紋的全部生物特徵。因此,只要感測器捕捉的指紋圖像與手機本機存放區的指紋圖像部分一致,手機即可完成解鎖。
相關專家告訴記者,
“膠帶+導電液+橘子皮”解鎖手機的原理,其實就是在原有資訊的基礎上人為插入部分錯誤資訊,也就是機主正確指紋資訊(A)加上導電介質組成的錯誤資訊(B),從而形成新的指紋圖像(A+B)。
如此“偷樑換柱”之後,任何人的手指進行指紋解鎖,都會帶著插入的錯誤圖像(B),手機識插入圖像與內部儲存資訊是一致的,就解鎖了。
如果不用膠帶,直接用導電介質在指紋按鍵上塗抹,能達到同樣的解鎖效果嗎?
專家表示,理論上是可以的,但是導電介質直接塗在按鍵上會比較容易被弄花,從而影響實際解鎖效果。
該專家說,這種指紋識別的漏洞其實以前並不存在,只不過應用指紋識別的手機越來越多,部分廠商採用了錯誤的技術路線,並且為了追求解鎖的便利性,又主動降低了安全性,使得其中的風險凸顯出來。要解決這個問題,需要改進指紋識別的技術實現方式。圖像識別是漏洞最大的,目前業界其實有其他集安全性、便利性為一體的指紋技術路線。
關鍵在於指紋觸摸鍵上的圖案
技術人員說,他們根據網上視頻反映的手機指紋觸摸鍵裂紋這個線索,通過在實驗室裡類比裂紋圖案,並進行了多次試驗,發現破解指紋驗證的關鍵在於指紋觸摸鍵上的圖案。
於是技術人員拿一小塊兒膠布或市面上流行的指紋貼,背面用導電筆塗抹形成圖案,貼到手機指紋驗證的部位。只要機主的指紋觸碰到這塊膠布或者指紋貼,成功解鎖開機幾次後,別人便都可以隨意開機了。
技術人員 李揚淵:裂痕本身會在感測器上形成一些圖案,而貼上的膜(膠布或指紋貼),膜上的導電介質,都會為感測器形成一定的圖案,因為這個圖案是擋在手指前面的,它就會替代了指紋。這樣的話最後的軟體系統,它收到的時候已經有了這些圖案成分的圖,它收了這個圖,它認證也是個圖,所以它也會過。
技術人員認為,指紋感測器接收到的資訊包含指紋貼上的導電塗層,並不完全是機主手指的指紋。而在進行指紋比對時,只要部分資訊相同就能通過驗證。因此只要經過處理,其他人的指紋同樣能夠驗證通過。
清華大學自動化系副教授 馮建江:早期的指紋識別技術,像身份證用的,考勤用的,還有公安刑偵破案用的,原理是看手指上面的一些細節特徵點,但這個技術現在不是手機上普遍採用的,主要是因為手機它感測器面積特別的小,資訊很少,所以說就這個行業界就開始採用一種新的方案,它是利用圖案本身。
應用指紋貼
多領域產品解鎖成功
如今,指紋驗證不僅在手機上使用,在一些型號的筆記型電腦,甚至防盜門的電子鎖上,都採用了指紋驗證的方式。那麼在這些領域裡,指紋驗證又是否存在這樣的漏洞呢?
在一款筆記型電腦上,技術人員將指紋貼背面用導電筆進行塗抹,然後貼到指紋驗證的觸摸鍵上。隨後,機主在這台電腦的系統裡設置了指紋開機,並錄入自己的指紋。接下來,由其他人打開這台電腦,用指紋試了幾次後,同樣能通過驗證並開機。
隨後,技術人員又對某款門鎖進行了試驗,發現了類似的安全隱患。
專家:
指紋觸摸鍵沒受損或貼指紋貼
就不必過分擔心
專家提示,雖然這個漏洞涉及到了不同領域的不同產品,但如果您的指紋觸摸鍵沒有受損或貼指紋貼,就可以正常使用,不必過分擔心。同時,專家也提醒大家,如果對於安全性比較在意,儘量不要使用指紋貼。另外在使用指紋驗證前最好先檢查一下觸摸鍵上是否貼有其它異物或圖案。
清華大學自動化系副教授 馮建江:肯定是得檢查一下,這是不是真的是一陷阱,肯定得把那個貼膜撕掉。如果說手機不小心摔裂了,這個時候有一個簡單的辦法,就是你試一下你的別的手指是不是也能夠解鎖成功,如果也能解鎖成功,那說明是有這個漏洞的。據瞭解,目前工信部、質檢總局等相關部門已介入調查,記者將持續關注。
專家:
橘子皮解鎖需要機主配合
實際操作性較低
關於網傳的橘子皮解鎖手機,資訊安全專家告訴記者,
網上的破解需要在機主配合的情況下才能實現,因此實際操作性較低。
如果機主不配合,其實是拿不到機主指紋的,也就無法實現橘子皮或者任意指紋解鎖。
據瞭解,目前手機上普遍採用的指紋識別技術,是利用感測器捕捉指紋的圖像資訊。這一方式的最大漏洞在於,部分指紋廠商採用圖像演算法技術路線,所以不需要完整捕捉指紋的全部生物特徵。因此,只要感測器捕捉的指紋圖像與手機本機存放區的指紋圖像部分一致,手機即可完成解鎖。
相關專家告訴記者,
“膠帶+導電液+橘子皮”解鎖手機的原理,其實就是在原有資訊的基礎上人為插入部分錯誤資訊,也就是機主正確指紋資訊(A)加上導電介質組成的錯誤資訊(B),從而形成新的指紋圖像(A+B)。
如此“偷樑換柱”之後,任何人的手指進行指紋解鎖,都會帶著插入的錯誤圖像(B),手機識插入圖像與內部儲存資訊是一致的,就解鎖了。
如果不用膠帶,直接用導電介質在指紋按鍵上塗抹,能達到同樣的解鎖效果嗎?
專家表示,理論上是可以的,但是導電介質直接塗在按鍵上會比較容易被弄花,從而影響實際解鎖效果。
該專家說,這種指紋識別的漏洞其實以前並不存在,只不過應用指紋識別的手機越來越多,部分廠商採用了錯誤的技術路線,並且為了追求解鎖的便利性,又主動降低了安全性,使得其中的風險凸顯出來。要解決這個問題,需要改進指紋識別的技術實現方式。圖像識別是漏洞最大的,目前業界其實有其他集安全性、便利性為一體的指紋技術路線。