指紋門鎖被攻破引起恐慌，專家認為是小範圍警報，你會購買嗎？

解讀：攻擊場景有限 主流產品出現同樣漏洞可能性不高

■IT時報記者 戚夜雲

一次意外的Home鍵摔裂， 手機人人可解， 是意外還是必然？多品牌手機出現相同症狀，

是小概率事件還是產品演算法漏洞？相同問題只存在於一家晶片供應商還是普遍問題？

系列報導見報之後， 引起多方關注， 《揚子晚報》、中央電視臺等媒體多次跟蹤報導， 近期的一則央視報導中更是指出， 不僅手機指紋晶片存在相同問題， 相關指紋門鎖具也有類似漏洞， 這在智慧鎖具市場引發一陣喧嘩。

指紋門鎖也存在漏洞

“民以食為天， 以居為安。 ”想要家裡安全過得舒心， “門”的重要性往往擺在第一位。 不過， 常常忘帶鑰匙的尷尬， 開始讓鎖具廠商尋求更便捷的開門方式， 於是智慧鎖在家庭市場熱了起來。

然而， 便捷的同時， 智慧門鎖真的安全嗎？1月25日， CCTV-13新聞頻道《指紋識別， 當真安全嗎？》的新聞中，

除了指出手機存在安全性漏洞， 一張膜即可破解外， 還展示了帶指紋解鎖的筆記型電腦以及指紋門鎖被破解的畫面。 比起筆記本、手機等私人物品， 消費者擔心， 裸露在外的指紋門鎖帶來的安全隱患更大。

視頻中進行破解操作的是蘇州邁瑞微電子有限公司工作人員， 其董事長李揚淵在接受《IT時報》記者採訪時透露了視頻中指紋門鎖的破解過程。 新聞報導中， 重點演示的安卓手機破解方法較為簡單， 只需要將膜貼上去之後， 原主人解鎖一次後， 便能實現人人可解的效果， 但是指紋門鎖的破解過程相對複雜很多。

“貼膜之後還需要重新註冊指紋， 註冊完成後再解鎖幾次， 才能達到人人解鎖的效果。 ”李揚淵表示，

重新註冊指紋是必要操作， 不可省略。

這樣破解方法與此前《IT時報》報導中iPhone被破解的方法類似， 但是指紋門鎖被破解的場景出現比較少。 李揚淵坦承， 相比手機， 指紋門鎖的攻擊場景很少， 因為家庭成員較為固定， 二次錄入指紋可能性較小。

無需恐慌

只是小範圍警報

通過拆解， 李揚淵發現這把鎖採用的是比亞迪晶片， 兆易創新的單片機， 但是模組商沒有打標， “無法確定模組廠商， 就很難判定出現該問題的源頭在哪裡， 但可以確認的是， 演算法的最後一層判決出了差錯。 ”

指紋識別演算法是一套流程框架下的各個環節演算法組合實現的綜合模型。 總體來說， 分為圖像增強、幾何配准和打分裁決三個環節。 指紋門鎖的貼膜破解法，

針對的是判決環節漏洞。 “如果從結果倒推， 可能存在好幾種情況， 有可能是採用了圖像演算法， 又或者是傳統指紋特徵點演算法水準不高， ”李揚淵表示， “指紋特徵提取實現不好， 比如說偽細節特別多， 最終判定是否開鎖時， 有可能只識不別。 ”

與手機內部容量有限不同， 主流的指紋門鎖搭載的感測器面積至少是手機晶片的2倍以上。 指紋門鎖的演算法方案大部分以傳統利用指紋特徵的演算法為主， 為了提高解鎖速度與體驗， 部分演算法廠商會採取傳統演算法與全圖像演算法相結合方案。

指紋門鎖演算法提供商上海圖正董事長劉君分析， “現在指紋門鎖考慮到商業辦公的需要， 可容納指紋至少都在百枚以上。

而全圖像演算法做不到這一點。 ”他認為， 由於全圖像演算法對CPU晶片性能要求高， 很難瞬間進行大量的運算， 在1秒的時間裡比對上百枚指紋， 所以指紋門鎖很少採取全圖像演算法解決方案。 如果該漏洞確實因全圖像演算法導致， 劉君認為用戶不必擔心， 主流傳統的廠商並不會純粹只採取全圖像演算法解決方案。

李揚淵也表示， 只實驗了一把門鎖就發現了這個漏洞， 沒有做普遍調查， 而且攻擊場景也有限， “所以只是小範圍警報。 ”

消費提醒：

儘量選擇知名品牌

不過， 儘管指紋門鎖晶片廠商認為， 指紋被破解的大範圍概率並不存在， 但這並不意味著， 人們對智慧鎖可以有足夠的樂觀。

1月30日， 《IT時報》記者走訪了百安居、紅星美凱龍家居城， 市場上在售的指紋門鎖大多在2000元以上，類似李揚淵破解的那種智慧門鎖，線下門店幾乎沒有銷售。但在淘寶、京東等電商平臺上，打著智能門鎖旗號的店鋪有上千個，而且價格差異明顯，銷量靠前的多為千元以下的智慧門鎖。

“指紋門鎖市場魚龍混雜，參差不齊，消費者靠直觀分辨是否安全難度很大。” 某從事公安科學技術研究的人員告訴記者，“京東、天貓也曾想給上線門鎖產品提一個標準，讓消費者可以明確選擇，但是瞭解下來很難做評估，只能去檢測。目前，智慧門鎖沒有強制性的檢測要求，所以很多廠商並不會送去專門機構檢測。”

目前市面上常見的智慧門鎖往往擁有多種開鎖方式：指紋、IC卡、密碼、鑰匙等四種是常見的配置，而演算法僅僅是存在指紋這一種方式上的漏洞。業內專家表示，雖然前文報導中提到的安全隱患無需太多的擔憂，但需要重視的是智慧門鎖的整體安全，複製IC卡、破解密碼、駭客攻擊聯網門鎖等等，都很可能比演算法破解要容易得多。

由於大部分智慧鎖仍然具備機械鎖芯，目前智慧鎖唯一強制性執行的標準是國內機械鎖執行的標準為《 GA/T 73-2015》，其中明確指出中國機械鎖分為ABC三個等級，等級之間的差異在於開啟時間的長短。

市場上在售的指紋門鎖大多在2000元以上，類似李揚淵破解的那種智慧門鎖，線下門店幾乎沒有銷售。但在淘寶、京東等電商平臺上，打著智能門鎖旗號的店鋪有上千個，而且價格差異明顯，銷量靠前的多為千元以下的智慧門鎖。

“指紋門鎖市場魚龍混雜，參差不齊，消費者靠直觀分辨是否安全難度很大。” 某從事公安科學技術研究的人員告訴記者，“京東、天貓也曾想給上線門鎖產品提一個標準，讓消費者可以明確選擇，但是瞭解下來很難做評估，只能去檢測。目前，智慧門鎖沒有強制性的檢測要求，所以很多廠商並不會送去專門機構檢測。”

目前市面上常見的智慧門鎖往往擁有多種開鎖方式：指紋、IC卡、密碼、鑰匙等四種是常見的配置，而演算法僅僅是存在指紋這一種方式上的漏洞。業內專家表示，雖然前文報導中提到的安全隱患無需太多的擔憂，但需要重視的是智慧門鎖的整體安全，複製IC卡、破解密碼、駭客攻擊聯網門鎖等等，都很可能比演算法破解要容易得多。

由於大部分智慧鎖仍然具備機械鎖芯，目前智慧鎖唯一強制性執行的標準是國內機械鎖執行的標準為《 GA/T 73-2015》，其中明確指出中國機械鎖分為ABC三個等級，等級之間的差異在於開啟時間的長短。