最近一则标题为“手机指纹锁存漏洞:胶带 导电笔秒开,你还敢放心支付吗?”的新闻曝出了手机指纹解锁存在的惊天漏洞。
一家苏州公司向国家工信部、公安部、网信办、人民银行等四部门举报,只要用一段透明胶带 一支导电笔,就可以秒破手机指纹识别系统,轻松开机,甚至支付。
这是怎么一回事?
该苏州公司的首席技术官李扬渊演示了整个解锁的过程。
步骤一
步骤三
李扬渊用大拇指按在指纹解锁键上,将手机开屏、锁屏,反复三次后,再将手机调至锁屏状态。
最后
李扬渊将食指按在指纹解锁键上。这部当初李扬渊用左手大拇指设置成指纹解锁模式的手机,竟然解锁了。
李扬渊又用他的其他8个指头,一一成功将这部手机解锁。他甚至还拿了一块海绵清洗布,按在手机指纹解锁键上,也成功解锁。
“海绵清洗布只是一个道具而已,你用一块橘子皮等其他材料,只要按在手机指纹解锁键上,都可以将这部手机成功解锁。”李扬渊表示,这个破解方式对任何品牌的手机都可以。“手机能被别人解锁,那么手机所有者的隐私和秘密,也就一览无余。”
隐私也只是其中一部分,很多人会设置指纹支付的方式来进行线上支付,上面这一段演示也意味着使用指纹支付的用户面临着财产损失的安全隐患,别人可以轻松的用以上解锁的方式,将微信、支付宝、网银账户里的钱成功移走。
破解的原理在于:手机指纹锁识别不需要100%比对相同,往往只要20%左右就可以。当手机的指纹按键,贴上动了手脚的胶带,机主用手指按键时,通过传感器,手机会生成新的指纹图案,等于导电液图案,加上机主指纹。智能手机会记住新的、带有导电液图案的指纹图。这时,用任何手指,甚至任何面积恰好按压指纹键的工具进行指纹解锁,会形成带着同样导电液图案的新指纹,手机只要识别这个导电液图案就会解锁放行。
其实,并没有一件东西是完美的、没有漏洞和弊端的,比如军事级别的密码,各种数字密码、生物密码——无论是指纹、虹膜、还是面部,都是可以通过各种方法来被破解的。毕竟,这些高科技都是我们人类设计制造出来的,存在漏洞无可厚非,关键是漏洞是否能提前识别、补救、是否已被坏人利用造成损失。
目前好像质检总局已经介入了,将来可能要把这个纳入手机生产质量监管内。“这个软件上的漏洞,可以归结为产品质量问题。”李扬渊说,未来国家工商总局也可能重点跟进该安全漏洞,基于质检部门做出的技术判定进行行政执法工作。而手机主管部门工信部也已为该安全漏洞的检测标准立项,以将存在安全缺陷的手机阻挡在面市之前。
在指纹解锁改进之前,提醒设置了指纹支付的用户,尽量关闭指纹支付功能,对于比较重要的文件和数据最好是使用数字、字母或者汉字密码。在日常生活中,保持警惕,不要给不怀好意的人机会。如果手机丢失了,要马上挂失手机号、冻结手机网银、解绑微信、支付宝等关联账号,并通知手机联系人避免二次损失。
,
