指纹识别真的安全吗?看完这篇文章你就知道了
扫描二维码
随时随地手机看文章
两年前,iPhone 5s开启了智能手机的指纹时代。随后,一大波Android指纹识别手机相继涌现。并且在这两年间,随着产业链厂商的推波助澜,指纹识别技术的门槛在逐渐走低,其终端价格也在迅速下探。原来这一高大上的技术仅仅是应用于高端旗舰机上,而现在千元机同样也能拥有该功能。
不过,当指纹手机走入寻常百姓家的时候,一个不可忽视的问题也随即而来了:你的指纹手机安全吗?
近日,在世界黑帽大会(BlackHat)上,来自中国的两位黑客魏涛、张玉龙发现了Android指纹识别框架下存在重大漏洞,通过这个漏洞他们可以轻松绕过指纹识别器,进而可以解锁手机屏幕、安装应用,甚至是转账支付等。另外,他们还能够直接拷贝用户的指纹信息,这将严重威胁到了用户的个人信息及隐私安全。据悉,此次他们攻破的是HTC One Max、三星Galaxy S5两款机型。不过,由于该漏洞出现在Android系统层级,也就是说,任何配备指纹解锁的Android手机都将受到威胁。
那么,一向以安全著称的指纹识别技术,为何会频频遭到破解?而要回答这个问题,还需要从指纹识别技术的原理说起。
目前市面上主流的应用于智能手机的指纹识别技术大概有两种:按压式和滑动式。它们基本上都是基于电容传感识别原理:由手指构成电容的一极,而传感器构成另一极,通过人体的微电场与电容传感器间形成微电流,指纹的波峰和波谷形成电容高低差,进而描绘出指纹图像。然后,用这一图像与数据库的指纹样本互相匹配,便完成了一次指纹识别过程。
Android手机厂商在保护指纹方面都是采用芯片级的安全解决方案TrustZone,包括魅族的MX4 Pro、华为的Mate 7等都采用了该方案。它是ARM提供的一种可保护敏感信息的硬件安全架构体系,用于把手机从硬件与软件上分成安全区与普通区两个区域。安全区属于硬件加密级别,因此第三方程序无法访问其中的敏感数据。通过这种硬件+软件的双重机构完成对指纹识别技术的安全管控。
但事实上,这种双区加密的方式也存在着一定的漏洞。
在整个识别过程中,指纹图像的匹配过程需要借由软件实现,而就为黑客们提供了破解的入口。一但该方案出现软件漏洞时,黑客便能够在可信区域执行任意代码,将TrustZone完全攻破。去年8月,有消息爆出高通骁龙系列处理都存在TrustZone漏洞。这些漏洞可以被黑客利用来攻破系统级的保护机制,并获得用户隐私资料,甚至包括完成支付等高权限动作。
TrustZone被视为Anroid指纹手机安全的最后一道防线,然而一旦被攻破,指纹识别也就形同虚设。不过,目前黑客们都是利用软件方面的漏洞进行破解,而当这些漏洞被发现后,谷歌便会马上进行封堵。
那么,果粉们肯定会问了,苹果的Touch ID安全性又怎么样?
在这次的世界黑帽大会上,黑客们并没有攻下苹果的Touch ID,他们不仅没有绕过Touch ID,也不能盗走用户的指纹信息,这其实也体现了iOS作为封闭系统在安全方面的优势。
但这并不能说Touch ID就绝对的安全。其实,iPhone 5s发布后仅一天,欧洲最大的骇客团体ChaosComputerClub就宣布破解了Touch ID。不过,针对于Touch ID的破解更多是利用指纹膜这样的方式,真正通过硬件和软件手段的破解还很少。
在指纹安全方面,苹果是采用了独立设计的Secure Enclave模块,该模块同样是基于ARM 的TrustZone技术,相当于苹果定制了一个高度优化的TrustZone模块。据苹果安全手册描述,Secure Enclave是苹果定制的一个单芯片级的协处理器,在处理安全信息时它会启动序列码和软件更新机制,专门负责对数据保护和加密操作。并且只有Secure Enclave能够访问用户指纹信息,苹果公司也无法获知,也不会传到iCould上面。苹果将用户的指纹信息存储于本地,并没有上传到云端,这大大降低了被盗取的可能性。
前Google安全大师、安全领域专家Shuman Ghosemajumder表示过,指纹扫描必须只基于硬件,扫描的过程不能通过软件激活,或是将指纹信息传送给软件。如果该装置能够被软件激活,那么就无法避免被恶意代码攻击的风险。可以看到的是,不管苹果Touch ID如何加强硬件的保护机制,但其指纹识别的过程仍需软件的协同,而这也让它存在着一定的安全风险。
但不管怎么说,指纹识别仍然是目前能够广泛商用,且安全性较高的一种加密方式。并且随着技术的演进,一些新型指纹识别技术开始出现,比如高通已经推出了一项黑科技——超声波指纹识别技术(超声波Sense ID)。与电容式识别原理不同,它采取超声波的扫描方式,因此它不需要电容传感器或者按钮,可以隐藏于多种材质表面之下。基于这种技术,手机厂商可推出不需要Home键的智能手机。
另外,除了指纹识别技术外,虹膜识别(眼球识别)技术也在日益成熟,并且vivo在其最新旗舰X5 Pro上已经运用了该技术。它是通过扫描用户独的眼球静脉图案,来辨别不同生物活体,具有更高的安全性和不可复制性。该技术同样可以应用于支付类、信息类的加密。
“道高一尺,魔高一丈”,对于黑客们来说,破解之路永远没有尽头。但对于普通用户来说,除了加强自身的安全意识外,更多的是要享受新技术带来的便利和体验。
下载文档
