如今,手機和人們的關(guān)系越來越密切,很多個人信息,銀行賬號,支付應(yīng)用等都存儲或綁定在自己手機上,因此大家對于手機安全性也格外看重。而指紋驗證無疑是給我們的個人隱私以及財產(chǎn)安全增加了一道防線。因為將機主的指紋信息采集錄入后,每次只有機主本人將自己的指紋驗證通過后,才能解鎖開機或者進行電子支付。然而這道看似安全的防線真的安全嗎?如今,手機和人們的關(guān)系越來越密切,很多個人信息,銀行賬號,支付應(yīng)用等都存儲或綁定在自己手機上,因此大家對于手機安全性也格外看重。而
近日,網(wǎng)上一篇《一塊橘子皮就能秒開你的手機指紋鎖還能轉(zhuǎn)賬付款》的文章及視頻引起了廣泛的關(guān)注。里面提到,對于需要指紋驗證的手機,通過使用一些簡單的處理手段,任何人的指紋都可以解鎖,甚至一塊橘子皮都行。
指紋觸摸鍵被摔裂任何人都能解鎖
而在前不久,來自安徽的小許,由于手機摔到地上,導(dǎo)致指紋觸摸鍵出現(xiàn)了裂紋,令他詫異的是,之后其他人居然都可以用指紋解鎖他的手機。不僅如此,小許手機里的一些需要指紋識別才能使用的支付應(yīng)用,陌生的指紋同樣可以通過驗證并使用。
<iframe frameborder="0" height="250px" marginheight="0" marginwidth="0" scrolling="no" src="http://news.youth.cn/bx/index_19329.html" style="margin: 10px 10px 10px 0px; padding: 0px; border-width: 0px; border-style: initial; color: rgb(69, 69, 69); font-family: "Microsoft YaHei", Arial, 黑體, 宋體, sans-serif; font-size: 14px; float: left;" width="300px"></iframe>
電話采訪小許:我手機不小心摔了一下,摔地上了,我看到那個上面有裂痕。我當(dāng)時以為這個(指紋功能)可能用不了了。然后我拿了用一下發(fā)現(xiàn)還是可以指紋解鎖,還是可以一樣用,支付寶指紋支付都可以。第二天,我在班上玩手機,同學(xué)摸了下我手機解鎖了,當(dāng)時我就有點蒙。因為他第一次用我的手機,為什么他能解鎖,然后后來試了一下就發(fā)現(xiàn)所有人都能解鎖,發(fā)現(xiàn)手機支付什么都可以了。
隨后,小許立即與手機廠商進行了聯(lián)系,商家為小許屏蔽了指紋功能。蘇州一家科技公司的技術(shù)人員看到網(wǎng)上視頻,了解到此事后,在實驗室模擬出手機指紋觸摸鍵裂紋的圖案,經(jīng)過多次試驗,他們發(fā)現(xiàn)即使手機在沒有任何損壞的情況下,經(jīng)過一些處理后,仍然可以破解指紋鎖,哪怕是用一塊橘子皮也可以通過驗證。
指紋貼上做手腳可破解手機指紋鎖
這種情況是否是因為手機被摔受損,而導(dǎo)致了指紋驗證出現(xiàn)了誤判?而用一塊兒橘子皮就能通過指紋驗證解鎖開機,是否能說明指紋驗證系統(tǒng)存在著一定的安全漏洞呢?
記者聯(lián)系到了這條信息的發(fā)布者,在實驗室里,技術(shù)人員演示了這一破解過程。
技術(shù)人員:我先用這個手機錄一個指紋,我左手的拇指錄入完畢了。現(xiàn)在可以看到這里面只有一個手指(指紋記錄),只有我左手的拇指可以開鎖。換一個人試一下。
記者:我解不了這個。
在經(jīng)過一些處理后,之前并沒有錄入指紋的記者,竟然能夠解鎖開機。隨后,技術(shù)人員又將目前市面上一些主流品牌型號的手機逐一試驗,記者在沒有提前錄入指紋的情況下,都一一將這些手機用自己的指紋成功解鎖開機。
除了指紋開機,利用指紋驗證進行支付轉(zhuǎn)賬也是很多人目前經(jīng)常使用的應(yīng)用。記者拿出了自己的手機,打開了指紋支付這一功能。之后技術(shù)人員對記者的手機進行一些操作,接下來除了記者本人能用指紋轉(zhuǎn)賬之外,用桂圓、橘子皮甚至餐巾紙等物品代替指紋也同樣能夠驗證通過。
技術(shù)人員說,他們根據(jù)網(wǎng)上視頻反映的手機指紋觸摸鍵裂紋這個線索,通過在實驗室里模擬裂紋圖案,并進行了多次試驗,發(fā)現(xiàn)破解指紋驗證的關(guān)鍵在于指紋觸摸鍵上的圖案。于是技術(shù)人員拿一小塊兒膠布或市面上流行的指紋貼,背面用導(dǎo)電筆涂抹形成圖案,貼到手機指紋驗證的部位。只要機主的指紋觸碰到這塊膠布或者指紋貼,成功解鎖開機幾次后,別人便都可以隨意開機了。
技術(shù)人員李揚淵:裂痕本身會在傳感器上形成一些圖案,而貼上的膜(膠布或指紋貼),膜上的導(dǎo)電介質(zhì),都會為傳感器形成一定的圖案,因為這個圖案是擋在手指前面的,它就會替代了指紋。這樣的話最后的軟件系統(tǒng),它收到的時候已經(jīng)有了這些圖案成分的圖,它收了這個圖,它認證也是個圖,所以它也會過。
技術(shù)人員認為,指紋傳感器接收到的信息包含指紋貼上的導(dǎo)電涂層,并不完全是機主手指的指紋。而在進行指紋比對時,只要部分信息相同就能通過驗證。因此只要經(jīng)過處理,其他人的指紋同樣能夠驗證通過。
清華大學(xué)自動化系副教授馮建江:早期的指紋識別技術(shù),像身份證用的,考勤用的,還有公安刑偵破案用的,原理是看手指上面的一些細節(jié)特征點,但這個技術(shù)現(xiàn)在不是手機上普遍采用的,主要是因為手機它傳感器面積特別的小,信息很少,所以說就這個行業(yè)界就開始采用一種新的方案,它是利用圖案本身。
應(yīng)用指紋貼多領(lǐng)域產(chǎn)品解鎖成功
如今,指紋驗證不僅在手機上使用,在一些型號的筆記本電腦,甚至防盜門的電子鎖上,都采用了指紋驗證的方式。那么在這些領(lǐng)域里,指紋驗證又是否存在這樣的漏洞呢?
在一款筆記本電腦上,技術(shù)人員將指紋貼背面用導(dǎo)電筆進行涂抹,然后貼到指紋驗證的觸摸鍵上。隨后,機主在這臺電腦的系統(tǒng)里設(shè)置了指紋開機,并錄入自己的指紋。接下來,由其他人打開這臺電腦,用指紋試了幾次后,同樣能通過驗證并開機。
隨后,技術(shù)人員又對某款門鎖進行了試驗,發(fā)現(xiàn)了類似的安全隱患。
專家提示,雖然這個漏洞涉及到了不同領(lǐng)域的不同產(chǎn)品,但如果您的指紋觸摸鍵沒有受損或貼指紋貼,就可以正常使用,不必過分擔(dān)心。同時,專家也提醒大家,如果對于安全性比較在意,盡量不要使用指紋貼。另外在使用指紋驗證前最好先檢查一下觸摸鍵上是否貼有其它異物或圖案。
清華大學(xué)自動化系副教授馮建江:肯定是得檢查一下,這是不是真的是一陷阱,肯定得把那個貼膜撕掉。如果說手機不小心摔裂了,這個時候有一個簡單的辦法,就是你試一下你的別的手指是不是也能夠解鎖成功,如果也能解鎖成功,那說明是有這個漏洞的。據(jù)了解,目前工信部、質(zhì)檢總局等相關(guān)部門已介入調(diào)查,記者將持續(xù)關(guān)注。
