最近新闻上说现在的指纹解锁存在很大的安全漏洞,不禁让人担心起来。桔子皮就能解锁手机?
用桔子皮解锁手机,能成功,但仅在实验室场景下,且满足一系列条件才能成功。因为需要机主大量的配合,在现实场景中实现的难度极大,而且犯罪成本很高。所以当段子讲讲可以,不必因此恐慌。
指纹识别真安全吗? 记者体验简单技术处理后橘子皮成功解锁
一、手机指纹解锁的2个常见误区
本质上讲,能做到用桔子皮解锁手机指纹,有2个核心原因:
1,手机的指纹识别通过的匹配度并非100%;
2,手机的指纹模块是动态更新的;
这2个原因都是手机厂商为了让指纹识别更流畅所做优化导致的。展开来说:
1,匹配度
你在手机上通过指纹解锁,是将你当下的指纹和你此前输入到手机里的指纹模板做对比。
那么问题来了,是不是匹配度必须是100%才能解锁?
并不是。因为如果是这样,那指纹解锁的体验会非常差。按指纹时,场景会各种各样:手上有汗、指纹接触的位置,如果每次都需要100%才能解锁,估计得按很多次才能实现。
所以多数厂商选择的方案是,只要匹配度达到一定阀值,即可解锁通过。
2,指纹模板
手机里存储的,用作对比的指纹模板,并不是一成不变的,而是根据用户的解锁,不断更新的。这个思路和苹果的FaceID是一致的,一开始要先录入,随后每次通过校验时,也会在后台更新。
指纹解锁的这2个优化都是为了让解锁过程更流畅,且不会对安全性造成较大影响(具体理由下一节解释)。
二、桔子皮解锁的原理
那桔子皮怎么解锁的呢?得事先在手机的指纹传感器上,贴上一层薄膜,薄膜上一部分区域画一些模拟指纹的图案,比方说40%的区域,剩下60%的区域空着。
这就相当于,用户再进行指纹解锁的时候,只录入了60%的真实指纹信息,剩下40%的,是薄膜上模拟指纹的信息。
只要这款手机的指纹识别匹配度阈值低于60%,那么用户就能解锁成功。与此同时,系统会误认为用户的指纹信息有变动,于是开始慢慢更新指纹模块,将40%模拟指纹信息逐渐更新为新的对比模板。
这样一段时间后,手机里存储的用于对比的指纹模板,就变成:60%的用户真实指纹信息+40%的薄膜模拟指纹信息。
如果这款手机的指纹识别匹配度阈值低于40%,那么薄膜里的模拟指纹信息就能成功解锁。这时剩余的60%,是用桔子皮,还是香蕉皮就都不重要了。
三、这是一个需要担心的漏洞吗?
完全不用担心。虽然在实验室能验证成功,但其实普通用户完全不用担心,因为在现实场景下,通过这种方式进行攻击的可能性低到几乎没有。
如果坏人想通过这个办法偷你手机里的资料或钱,需要以下一系列操作:
1,先偷到你的手机;
2,测试出你手机指纹识别的阈值;
3,在你的手机指纹识别传感器上贴上薄膜;
4,偷偷把手机还给你;
5,你没有感觉到你的手机指纹识别传感器上被贴了一层膜;
6,等一段时间;
7,再次偷到你的手机;
别的不说,仅第5步,就几乎不可能实现。自己手机按指纹的地方,有没有被贴膜,这个正常用户第一时间就能发现。毕竟指尖是人类感觉最灵敏的地方之一。
此外,更重要的是,这种攻击,时间成本极高,且只能针对身边的人,事后也非常容易被发现。尤其是如果想偷钱的话,手机支付,很容易追踪到钱到哪里去了。
所以换句话说,这不会成为黑产攻击的手段。对于绝大多数用户而言,这个事情的危害远远,远远小于点了来历不明的链接。
四、怎么做
对于用户而言,总的来讲,这不是普通用户需要担心的问题。如果硬要有什么安全提醒呢,
1,手机很重要,别乱丢(废话);
2,手机上出现了奇怪的薄膜,记得撕掉(这不废话吗);
3,手机的指纹识别功能异常时,记得去修(好像还是废话)
对于手机厂商,倒也不是没有优化的空间。比如,对于指纹模板更新,可以做的更细化一些,如果检测到特征不一致,可以先和已存在的指纹模板进行比对,如果特征变化明显,就不更新模板底库等等。
最后,说句实话。以这种攻击的时间成本之高,攻击之后被抓住的可能性之大,以及你的攻击价值之低,完全不用担心。
领取专属 10元无门槛券
私享最新 技术干货