據經濟之聲《天天315》報導, 最近, “一塊橘子皮就能秒開你的手機指紋鎖, 還能轉帳付款”的視頻在網路上熱傳。 視頻顯示, 需指紋驗證的手機, 通過使用一些簡單的處理手段, 任何人的指紋都可以解鎖, 甚至一塊橘子皮。
除了這個視頻, 還有消費者爆料, 手機摔到地上後, 指紋解鎖功能失效, 任何人都能通過指紋解鎖這部手機。 根據央視的報導, 來自安徽的小許手機摔到地上, 導致指紋觸摸鍵出現了裂紋。 令他詫異的是, 之後其他人居然都可以用指紋解鎖他的手機。 不僅如此, 小許手機裡的一些需要指紋識別才能使用的支付應用,
小許介紹道:“我的手機不小心摔到地上了, 然後我看到上面有裂痕, 我當時以為指紋功能可能用不了了, 然後我用了一下, 發現還是可以一樣用, 支付寶指紋支付都可以。 第二天, 我在班上玩手機, 同學摸了下我的手機就解鎖了, 當時我就有點懵, 因為他第一次用我手機, 為什麼他能解鎖?後來我發現所有人都能解鎖, 手機支付什麼都可以。 ”
隨後, 小許立即與手機廠商進行了聯繫, 商家為小許遮罩了指紋功能。 與此同時, 網上一篇《一塊橘子皮就能秒開你的手機指紋鎖 還能轉帳付款》的文章及視頻引起了廣泛的關注。 裡面提到, 對於需要指紋驗證的手機,
蘇州一家科技公司的技術人員看到網上視頻, 瞭解到此事後, 在實驗室模擬出手機指紋觸摸鍵裂紋的圖案, 經過多次試驗, 他們發現即使手機在沒有任何損壞的情況下, 經過一些處理後, 仍然可以破解指紋鎖, 哪怕是用一塊橘子皮也可以通過驗證。
技術人員說, 他們根據網上視頻反映的手機指紋觸摸鍵裂紋這個線索, 通過在實驗室裡類比裂紋圖案, 並進行了多次試驗, 發現破解指紋驗證的關鍵在於指紋觸摸鍵上的圖案。 “裂痕本身會在感測器上形成一定的圖案, 而貼上膜以後, 膜上的導電介質會給感測器形成一定的圖案, 這個圖案是擋在手指前面的,
不過, 技術人員強調, 想用橘子皮解開指紋鎖需要特定的前提。 首先需要一小塊兒膠布或市面上流行的指紋貼, 背面用導電筆塗抹形成圖案, 貼到手機指紋驗證的部位。 然後還需要機主的指紋觸碰到這塊膠布或者指紋貼, 成功解鎖開機幾次後, 別人才可以隨意開機。
技術人員解釋, 指紋感測器接收到的資訊包含指紋貼上的導電塗層, 並不完全是機主手指的指紋。 而在進行指紋比對時, 只要部分資訊相同就能通過驗證。 因此需要經過處理, 其他人的指紋才能夠驗證通過。
技術人員說:“早期的指紋識別技術,
即使需要很多特定前提, 但指紋解鎖功能的技術漏洞不容忽視。 如今, 指紋驗證不僅在手機上使用, 在一些型號的筆記型電腦, 甚至防盜門的電子鎖上, 都採用了指紋驗證的方式。 在這些領域裡, 指紋驗證也同樣存在這樣的漏洞。 在一款筆記型電腦上, 技術人員將指紋貼背面用導電筆進行塗抹, 然後貼到指紋驗證的觸摸鍵上。 隨後, 機主在這台電腦的系統裡設置了指紋開機,
專家提示, 雖然這個漏洞涉及到了不同領域的不同產品, 但如果您的指紋觸摸鍵沒有受損或貼指紋貼, 就可以正常使用, 不必過分擔心。 清華大學自動化系副教授馮建江提醒消費者, 如果對於安全性比較在意, 儘量不要使用指紋貼。 另外在使用指紋驗證前最好先檢查一下觸摸鍵上是否貼有其它異物或圖案。 “這肯定要檢查一下, 要把那個貼膜撕掉, 如果手機不小心摔裂了, 可以嘗試一個簡單的辦法, 就是試一下沒有登記過的手指是不是也能解鎖成功, 如果也能解鎖成功,那就說明是有這個漏洞的。”
除了指紋解鎖功能,人臉識別、虹膜識別等生物識別系統,也引發了人們對生物識別技術可能潛藏安全風險的關注。奇虎360公司副總裁、新加坡國立大學教授顏水成對此表示,“世界上沒有完美的技術,如果在特定的場景下,一項新技術的準確度能夠滿足要求,錯誤帶來的風險可以承受,那它就是有價值的。”
有觀點建議,從安全層面來考慮,最好多種驗證方式交叉使用,尤其是對安全要求極高的金融場景。比如,為了防止照片、視頻播放、3D頭套等假臉攻擊,銀行刷臉取款都同時進行人臉識別、手機號碼或身份證驗證、密碼驗證三層防護。據瞭解,目前工信部、質檢總局等相關部門已介入調查。消費者對此的普遍反映是沒有感覺特別恐慌,會注意防範措施。保證安全的前提下,對新技術、新科技保持接受態度。
奇虎360無線電安全研究專家付傑表示,生物識別系統雖有漏洞,但消費者無需因噎廢食。
付傑說:“從安全人員的角度來看,其實手機的指紋解鎖還是存在一定的安全隱患的,手機指紋解鎖的功能的局限性、容錯率機制就導致了橘子皮安全性事件的發生。網上的橘子皮解鎖的流程其實還是比較複雜的,可行性不是很高,所以用戶不必過於驚慌,這個技術還是相對比較成熟的。安全風險這個問題是一直存在的,但我們不能因為那一點安全風險就放棄了整個技術前景,ROT這個概念一旦存在,安全問題肯定會隨之而來,這就需要所有安全研究人員的共同努力,把這個漏洞給補上。”
關於這一話題,北京潮陽律師事務所律師胡鋼以及北京志霖律師事務所律師趙佔領進行了分析與解讀。
經濟之聲:你們對於橘子皮能秒開指紋鎖的視頻有怎樣的看法?
趙佔領:“因為在一般情況下,出於安全考慮,手機都會設置密碼,但是每次鎖屏之後再進去必須要輸入密碼,這樣挺麻煩,所以指紋解鎖實際上非常方便。除了手機之外,手機裡面有一些應用也有指紋的功能,比如微信支付或者支付寶支付等。因為你需要記住很多密碼,很多人都開通了指紋支付的功能,總體上來看,指紋解鎖或者指紋支付確實比較便利。指紋解鎖並不是絕對安全的,也可能會有漏洞,但是我們也無需恐慌,畢竟首先要別人拿到你的手機,其次需要去找專業人士,通過比較複雜的操作才能解開。那其實不僅指紋解鎖就是設置一般的密碼,那麼手機被盜或者丟失之後,專業人員也可能會通過一些手段也能破解這個密碼,所以我們一方面不要對這種事情過於恐慌,那另外一方面我們也需要隨著裡面所存在的安全問題進行關注。”
胡鋼:“這樣一個小的實驗確實讓我們大開眼界,也給我們帶來一些思考。傳統的密碼更加強調的是一種隨機性,比如數位、圖像等,即這個密碼本身是可替換的。現在這種生物識別技術的發展,使得密碼和原來有很大不同,無論是虹膜識別,還是指紋識別、聲音識別、面部識別等,它們都有一個非常大的特點,即屬於消費者的個人資訊,具有唯一性,除非做過巨大侵入性的調整手術。這種密碼如果用在一個所謂的閉路系統,比如給我一個特定的保險櫃,我按了一個指紋鎖,那麼它在這個小的環境裡相對比較安全。但一旦進入一個開放的系統,特別是和互聯網連接的系統,其危險性就迅速增大,因為虹膜、指紋、聲音等的這種唯一性很容易被數位化的東西所複製,長期上來說就可能存在風險。
我非常同意相關專家所說的‘一種新的技術,如果風險可控就可以繼續允許’。但是出現指紋被破解的這種情況,實際是在提示整個手機廠商,必須在提高性價比的同時,考慮安全性,比如對於出現的安全問題,實行保險賠償制度,這樣消費者才能更加安心。其實整個手機或者類似這種敏感終端的廠商都應該主動向消費者提供有選擇性的責任保險制度,同時將潛在的風險向消費者充分披露,這樣才能更加妥善。”
經濟之聲:如果有消費者遇到手機指紋被他人解鎖,並且造成財產損失,是否可以要求賠償?
趙佔領:“要看消費者的損失是什麼,有的是財產損失,比如支付帳戶、網銀帳戶等的指紋解鎖密碼被破解後造成的直接財產損失;有的可能是個人資訊洩露、隱私被洩露,比如手機的指紋解鎖功能被破解,導致手機裡一些敏感的個人檔被洩露,這種儘管沒有直接的財產損失,但是對消費者個人而言造成的損失也很大。
無論是財產損失還是個人資訊被洩露,責任到底由誰來承擔?手機廠商是否有責任?關鍵是看手機廠商有沒有過錯,任何一種技術都沒有絕對的安全,但至少在現有技術條件之下,要看廠商有沒有採取相應的技術防範措施,來最大限度地避免安全隱患的出現。另外,要看這種損失跟手機廠商有沒有直接的因果關係,比如手機丟失之後被解鎖,其中的個人資訊隱私遭洩露,這種情況下,如果手機廠商的技術存在安全性漏洞,導致消費者造成損失,那麼手機廠商可能就需要承擔責任。但很多手機廠商會通過使用者協定等方式,將這塊的責任進行免除,這種‘免除’是否一定能免掉?從法律上來講可能還是存在問題,因為這種條款是一種格式條款,而這種格式條款單方的免責受《消費者權益保護法》、《合同法》的約束,即不能存在‘霸王條款’,否則這樣的條款可能是無效的。
另外,財產損失通常還跟一些具體的應用軟體有一定關係,比如一些支付軟體的應用,要看這些軟體自身是否有相關安全措施,是否盡到了相當安全保障義務,如果沒有,那麼它也需要向遭受損失的使用者承擔相應的賠償責任。”
經濟之聲:對於新的技術性功能,比如手機指紋識別、人臉識別等功能,也引發了人們對生物識別技術可能潛藏安全風險的關注。消費者在使用相關產品時是否需要更加謹慎?
趙佔領:“首先我們對於這些新技術的不斷出現,既要持開放態度,同時也需要採取更加謹慎的態度,兩者實際上是不矛盾的,因為在這個過程中存在風險,特別是涉及到廣大消費者的人身財產或者個人資訊安全。
因為目前還不存在絕對安全的技術,比如像人臉識別開始應用於很多領域,它相對于傳統的密碼、晶片有很多獨特優勢,但是人臉識別同樣也可能會被破解,會被造假。而如何去關注這些風險,在很大程度上,一些技術廠商在其中發揮更大的作用,它們需要不斷通過新技術解決新問題。同時一些行業的主管部門需要對新出現的安全問題及時關注,特別是這種新問題出現的時候,可能會導致廣大使用者的個人資訊被洩露。比如今天案例中所提到的工信部、質檢總局開始進行關注,說明不僅是技術廠商、普通消費者,還有監管部門、行業協會和相關企業也要去關注,從而更好地促進新技術、新應用的發展。”
經濟之聲:使用手機支付功能的用戶越來越多。消費者應該如何注意手機支付使用安全,避免自己的財產遭到損失?
胡鋼:“現在手機真是太重要了,佔據了我們生活的很多方面。當我們想到手機可能會被盜竊、遺失,或者遭遇跌落、手機進水等某種原因的損害,需要採取哪些應急備份的措施?比如手機被盜,我們應該及時補辦手機的SIM卡,並將各種綁定服務止付或者修改,而有關的密碼需要記錄在紙上,最好能夠放在兩個以上的不同地方,這樣可能更安全一些,這種應急防範的意識和概念必須要有。同時,一類資訊即隱私性的資訊、高度隱私性的資訊,類似於非常個人化的資訊,盡可能不要在手機裡留存。對於涉及到財務敏感的資訊,盡可能讓網上直接支付的帳戶總額和收入相匹配,這樣更容易控制損失。總體來說,金融消費者權益保護的力度應該還是有巨大成長空間的,保護好自己的手機,很多時候就相當於保護好自己的個人和財產安全。”
[編輯:乒乓]
如果也能解鎖成功,那就說明是有這個漏洞的。”除了指紋解鎖功能,人臉識別、虹膜識別等生物識別系統,也引發了人們對生物識別技術可能潛藏安全風險的關注。奇虎360公司副總裁、新加坡國立大學教授顏水成對此表示,“世界上沒有完美的技術,如果在特定的場景下,一項新技術的準確度能夠滿足要求,錯誤帶來的風險可以承受,那它就是有價值的。”
有觀點建議,從安全層面來考慮,最好多種驗證方式交叉使用,尤其是對安全要求極高的金融場景。比如,為了防止照片、視頻播放、3D頭套等假臉攻擊,銀行刷臉取款都同時進行人臉識別、手機號碼或身份證驗證、密碼驗證三層防護。據瞭解,目前工信部、質檢總局等相關部門已介入調查。消費者對此的普遍反映是沒有感覺特別恐慌,會注意防範措施。保證安全的前提下,對新技術、新科技保持接受態度。
奇虎360無線電安全研究專家付傑表示,生物識別系統雖有漏洞,但消費者無需因噎廢食。
付傑說:“從安全人員的角度來看,其實手機的指紋解鎖還是存在一定的安全隱患的,手機指紋解鎖的功能的局限性、容錯率機制就導致了橘子皮安全性事件的發生。網上的橘子皮解鎖的流程其實還是比較複雜的,可行性不是很高,所以用戶不必過於驚慌,這個技術還是相對比較成熟的。安全風險這個問題是一直存在的,但我們不能因為那一點安全風險就放棄了整個技術前景,ROT這個概念一旦存在,安全問題肯定會隨之而來,這就需要所有安全研究人員的共同努力,把這個漏洞給補上。”
關於這一話題,北京潮陽律師事務所律師胡鋼以及北京志霖律師事務所律師趙佔領進行了分析與解讀。
經濟之聲:你們對於橘子皮能秒開指紋鎖的視頻有怎樣的看法?
趙佔領:“因為在一般情況下,出於安全考慮,手機都會設置密碼,但是每次鎖屏之後再進去必須要輸入密碼,這樣挺麻煩,所以指紋解鎖實際上非常方便。除了手機之外,手機裡面有一些應用也有指紋的功能,比如微信支付或者支付寶支付等。因為你需要記住很多密碼,很多人都開通了指紋支付的功能,總體上來看,指紋解鎖或者指紋支付確實比較便利。指紋解鎖並不是絕對安全的,也可能會有漏洞,但是我們也無需恐慌,畢竟首先要別人拿到你的手機,其次需要去找專業人士,通過比較複雜的操作才能解開。那其實不僅指紋解鎖就是設置一般的密碼,那麼手機被盜或者丟失之後,專業人員也可能會通過一些手段也能破解這個密碼,所以我們一方面不要對這種事情過於恐慌,那另外一方面我們也需要隨著裡面所存在的安全問題進行關注。”
胡鋼:“這樣一個小的實驗確實讓我們大開眼界,也給我們帶來一些思考。傳統的密碼更加強調的是一種隨機性,比如數位、圖像等,即這個密碼本身是可替換的。現在這種生物識別技術的發展,使得密碼和原來有很大不同,無論是虹膜識別,還是指紋識別、聲音識別、面部識別等,它們都有一個非常大的特點,即屬於消費者的個人資訊,具有唯一性,除非做過巨大侵入性的調整手術。這種密碼如果用在一個所謂的閉路系統,比如給我一個特定的保險櫃,我按了一個指紋鎖,那麼它在這個小的環境裡相對比較安全。但一旦進入一個開放的系統,特別是和互聯網連接的系統,其危險性就迅速增大,因為虹膜、指紋、聲音等的這種唯一性很容易被數位化的東西所複製,長期上來說就可能存在風險。
我非常同意相關專家所說的‘一種新的技術,如果風險可控就可以繼續允許’。但是出現指紋被破解的這種情況,實際是在提示整個手機廠商,必須在提高性價比的同時,考慮安全性,比如對於出現的安全問題,實行保險賠償制度,這樣消費者才能更加安心。其實整個手機或者類似這種敏感終端的廠商都應該主動向消費者提供有選擇性的責任保險制度,同時將潛在的風險向消費者充分披露,這樣才能更加妥善。”
經濟之聲:如果有消費者遇到手機指紋被他人解鎖,並且造成財產損失,是否可以要求賠償?
趙佔領:“要看消費者的損失是什麼,有的是財產損失,比如支付帳戶、網銀帳戶等的指紋解鎖密碼被破解後造成的直接財產損失;有的可能是個人資訊洩露、隱私被洩露,比如手機的指紋解鎖功能被破解,導致手機裡一些敏感的個人檔被洩露,這種儘管沒有直接的財產損失,但是對消費者個人而言造成的損失也很大。
無論是財產損失還是個人資訊被洩露,責任到底由誰來承擔?手機廠商是否有責任?關鍵是看手機廠商有沒有過錯,任何一種技術都沒有絕對的安全,但至少在現有技術條件之下,要看廠商有沒有採取相應的技術防範措施,來最大限度地避免安全隱患的出現。另外,要看這種損失跟手機廠商有沒有直接的因果關係,比如手機丟失之後被解鎖,其中的個人資訊隱私遭洩露,這種情況下,如果手機廠商的技術存在安全性漏洞,導致消費者造成損失,那麼手機廠商可能就需要承擔責任。但很多手機廠商會通過使用者協定等方式,將這塊的責任進行免除,這種‘免除’是否一定能免掉?從法律上來講可能還是存在問題,因為這種條款是一種格式條款,而這種格式條款單方的免責受《消費者權益保護法》、《合同法》的約束,即不能存在‘霸王條款’,否則這樣的條款可能是無效的。
另外,財產損失通常還跟一些具體的應用軟體有一定關係,比如一些支付軟體的應用,要看這些軟體自身是否有相關安全措施,是否盡到了相當安全保障義務,如果沒有,那麼它也需要向遭受損失的使用者承擔相應的賠償責任。”
經濟之聲:對於新的技術性功能,比如手機指紋識別、人臉識別等功能,也引發了人們對生物識別技術可能潛藏安全風險的關注。消費者在使用相關產品時是否需要更加謹慎?
趙佔領:“首先我們對於這些新技術的不斷出現,既要持開放態度,同時也需要採取更加謹慎的態度,兩者實際上是不矛盾的,因為在這個過程中存在風險,特別是涉及到廣大消費者的人身財產或者個人資訊安全。
因為目前還不存在絕對安全的技術,比如像人臉識別開始應用於很多領域,它相對于傳統的密碼、晶片有很多獨特優勢,但是人臉識別同樣也可能會被破解,會被造假。而如何去關注這些風險,在很大程度上,一些技術廠商在其中發揮更大的作用,它們需要不斷通過新技術解決新問題。同時一些行業的主管部門需要對新出現的安全問題及時關注,特別是這種新問題出現的時候,可能會導致廣大使用者的個人資訊被洩露。比如今天案例中所提到的工信部、質檢總局開始進行關注,說明不僅是技術廠商、普通消費者,還有監管部門、行業協會和相關企業也要去關注,從而更好地促進新技術、新應用的發展。”
經濟之聲:使用手機支付功能的用戶越來越多。消費者應該如何注意手機支付使用安全,避免自己的財產遭到損失?
胡鋼:“現在手機真是太重要了,佔據了我們生活的很多方面。當我們想到手機可能會被盜竊、遺失,或者遭遇跌落、手機進水等某種原因的損害,需要採取哪些應急備份的措施?比如手機被盜,我們應該及時補辦手機的SIM卡,並將各種綁定服務止付或者修改,而有關的密碼需要記錄在紙上,最好能夠放在兩個以上的不同地方,這樣可能更安全一些,這種應急防範的意識和概念必須要有。同時,一類資訊即隱私性的資訊、高度隱私性的資訊,類似於非常個人化的資訊,盡可能不要在手機裡留存。對於涉及到財務敏感的資訊,盡可能讓網上直接支付的帳戶總額和收入相匹配,這樣更容易控制損失。總體來說,金融消費者權益保護的力度應該還是有巨大成長空間的,保護好自己的手機,很多時候就相當於保護好自己的個人和財產安全。”
[編輯:乒乓]