现在的指纹解锁，桔子皮就能解？放心，没那么简单！

最近新闻上说现在的指纹解锁存在很大的安全漏洞，不禁让人担心起来。桔子皮就能解锁手机？

用桔子皮解锁手机，能成功，但仅在实验室场景下，且满足一系列条件才能成功。因为需要机主大量的配合，在现实场景中实现的难度极大，而且犯罪成本很高。所以当段子讲讲可以，不必因此恐慌。

指纹识别真安全吗？ 记者体验简单技术处理后橘子皮成功解锁

一、手机指纹解锁的2个常见误区

本质上讲，能做到用桔子皮解锁手机指纹，有2个核心原因：

1，手机的指纹识别通过的匹配度并非100%；

2，手机的指纹模块是动态更新的；

这2个原因都是手机厂商为了让指纹识别更流畅所做优化导致的。展开来说：

1，匹配度

你在手机上通过指纹解锁，是将你当下的指纹和你此前输入到手机里的指纹模板做对比。

那么问题来了，是不是匹配度必须是100%才能解锁？

并不是。因为如果是这样，那指纹解锁的体验会非常差。按指纹时，场景会各种各样：手上有汗、指纹接触的位置，如果每次都需要100%才能解锁，估计得按很多次才能实现。

所以多数厂商选择的方案是，只要匹配度达到一定阀值，即可解锁通过。

2，指纹模板

手机里存储的，用作对比的指纹模板，并不是一成不变的，而是根据用户的解锁，不断更新的。这个思路和苹果的FaceID是一致的，一开始要先录入，随后每次通过校验时，也会在后台更新。

指纹解锁的这2个优化都是为了让解锁过程更流畅，且不会对安全性造成较大影响（具体理由下一节解释）。

二、桔子皮解锁的原理

那桔子皮怎么解锁的呢？得事先在手机的指纹传感器上，贴上一层薄膜，薄膜上一部分区域画一些模拟指纹的图案，比方说40%的区域，剩下60%的区域空着。

这就相当于，用户再进行指纹解锁的时候，只录入了60%的真实指纹信息，剩下40%的，是薄膜上模拟指纹的信息。

只要这款手机的指纹识别匹配度阈值低于60%，那么用户就能解锁成功。与此同时，系统会误认为用户的指纹信息有变动，于是开始慢慢更新指纹模块，将40%模拟指纹信息逐渐更新为新的对比模板。

这样一段时间后，手机里存储的用于对比的指纹模板，就变成：60%的用户真实指纹信息+40%的薄膜模拟指纹信息。

如果这款手机的指纹识别匹配度阈值低于40%，那么薄膜里的模拟指纹信息就能成功解锁。这时剩余的60%，是用桔子皮，还是香蕉皮就都不重要了。

三、这是一个需要担心的漏洞吗？

完全不用担心。虽然在实验室能验证成功，但其实普通用户完全不用担心，因为在现实场景下，通过这种方式进行攻击的可能性低到几乎没有。

如果坏人想通过这个办法偷你手机里的资料或钱，需要以下一系列操作：

1，先偷到你的手机；

2，测试出你手机指纹识别的阈值；

3，在你的手机指纹识别传感器上贴上薄膜；

4，偷偷把手机还给你；

5，你没有感觉到你的手机指纹识别传感器上被贴了一层膜；

6，等一段时间；

7，再次偷到你的手机；

别的不说，仅第5步，就几乎不可能实现。自己手机按指纹的地方，有没有被贴膜，这个正常用户第一时间就能发现。毕竟指尖是人类感觉最灵敏的地方之一。

此外，更重要的是，这种攻击，时间成本极高，且只能针对身边的人，事后也非常容易被发现。尤其是如果想偷钱的话，手机支付，很容易追踪到钱到哪里去了。

所以换句话说，这不会成为黑产攻击的手段。对于绝大多数用户而言，这个事情的危害远远，远远小于点了来历不明的链接。

四、怎么做

对于用户而言，总的来讲，这不是普通用户需要担心的问题。如果硬要有什么安全提醒呢，

1，手机很重要，别乱丢（废话）；

2，手机上出现了奇怪的薄膜，记得撕掉（这不废话吗）；

3，手机的指纹识别功能异常时，记得去修（好像还是废话）

对于手机厂商，倒也不是没有优化的空间。比如，对于指纹模板更新，可以做的更细化一些，如果检测到特征不一致，可以先和已存在的指纹模板进行比对，如果特征变化明显，就不更新模板底库等等。

最后，说句实话。以这种攻击的时间成本之高，攻击之后被抓住的可能性之大，以及你的攻击价值之低，完全不用担心。