事件起源b站up主经历(有炒作嫌疑),手机指纹出现裂痕后,发现任何人都能解锁。

本文记录了,原理、安全性、专家回应以及怎么防范

先危言耸听一下:不光橘子皮,任何人的指纹都能随便解开你的手机锁,就连一块湿的餐巾纸都可以轻易的解锁你的手机。

014ednc20180129

不仅如此,微信转账也是OK的

015ednc20180129

怎么做

将一块透明胶布贴在你的手机指纹识别区

016ednc20180129

用手指解锁几次你会发现。

不需要录入指纹,任何人都可以解锁你的手机了。

017ednc20180129

原理如下

苹果在iPhone5s上搭载指纹后,为了让大家放心使用,于是发布了长达33页的安全白皮书。

根据白皮书的描述,苹果公司在A7芯片中划分了一块Secure Enclave(安全区域),用来管理、核对、和存储用户的指纹信息。SecureEnclave是一个独立的系统,有自己的安全启动顺序和软件升级机制。用户按下Home键的时候,Touch ID会进行一次88x88像素,500 ppi的光栅扫描,数据暂时存储在Secure Enclave的加密的内存里,等待矢量化分析。

018ednc20180129 苹果发布Touch id安全白皮书

重要的是

Touch ID会从各种角度不断学习用户的指纹,在已有的指纹图谱上添加新的节点。

回到刚才的步骤

019ednc20180129

我们在胶带上涂抹的这一小块物质构成了一个导电图层

而指纹传感器上接受到的信息包含这个导电图层,并不完全是你的指纹,而进行比对时只要部分信息相同,就能验证通过。

此时软件系统已经将导电图案学习进去

而这个图案会一直在指纹传感器上面,只要用手指一触碰,就能解锁

安全性

有人说这个问题是子虚乌有,那么指纹区域有裂痕后若继续使用是否有隐患呢。

你可能会问了,这种图层是不是很神稀奇的物质?

非也,淘宝上二十元左右可以买到很多到很多

目前我们接触最多的三种指纹识别方式有:光学识别、电容传感器、生物射频

•光学识别常见的属平常使用的指纹打卡机,是较早的指纹识别技术。光线射到手指上再反射回机器以获取数据。这种方式是采集手指上的特征点,与手机模块的原理有所区别。

020ednc20180129 光学识别只能到达皮肤的表皮层,而不能到达真皮层,而且受手指表面是否干净影响较大。

•电容式传感器是我们使用最多的指纹识别方法,利用指纹的凹凸,对手指的干净要求还是比较高,而且传感器表面使用硅材料,比较容易损坏。

这种方式也不能防范这次的指纹安全问题。

021ednc20180129

•生物射频和超声波生物射频是利用射频信号来获得指纹图像,超声波是向手指表面发射超声波,然后接受反射回来的回波。

022ednc20180129

手指嵴和沟会产生不同的超声波信号回波,将回波信号进行数据处理就可以获得指纹图像数据。超声波指纹可以防范这个安全漏洞,然而。

目前,采用超声波传感器的是少数,技术也不是很成熟。

为什么活体检测失灵了?

从iPhone 5s搭载电容指纹识别开始就安装了生物射频。现在使用的电容传感器,基本都具有活体检测功能。

要弄清楚橘子皮为什么能躲过活体检测,需要了解指纹识别的原理。

电容式传感器是我们使用最多的指纹识别方法,利用指纹的凹凸,从苹果收购AuthenTec并开始普及他们的方案之后,一般采用电容传感器的厂商,都会再搭载生物射频传感器。

从图中可以看到电容指纹识别模块的结构。

023ednc20180129

因为射频传感器是再电容传感器的下部,而且灵敏度一般很高,按照常理应该可以识别出橘子皮这种非生物。

但是,请注意,视频中的的人手指是压在橘子皮上方的,也就是说,手指表面的死皮和橘子皮一起被生物射频传感器穿过,最后识别出后面的活体手指。

024ednc20180129

###专家回应: “破解实验”在现实中操作性差

其实除了手机之外,笔记本电脑、防盗门电子锁等都采用了类似的指纹验证方式,而在技术人员的测试下,依靠透明胶带和导电笔,也都可以被随意解锁。

实际上,在打开指纹验证的过程中,最关键的并非透明胶带,而是导电笔涂层。

技术人员表示,在机主触摸导电涂层解锁时,指纹传感器接收到的信息其实是导电涂层,而不是手指指纹。涂层会聚集形成固定图案,并且与机主的指纹相结合,将新的图案更新进指纹模板。

“这是利用了现在智能手机指纹算法的特点”,苏州迈瑞微CTO李扬渊表示,目前指纹解锁为了更好更快的用户体验,只需要小部分指纹符合机主指纹即可开机,并且手机中记录的指纹在不断的更新、优化中;同时,指纹不会区别是否是人体,只要符合该图案即可解锁,也就有了橘子皮都可以解锁指纹识别的例子。

清华大学自动化系副教授冯建江在接受采访时认为,之所以出现这样的情况,是因为传感器面积小的限制,手机采用的指纹识别技术,只需要部分信息相符就能通过,这和传统的公安刑侦、考勤和身份证等采用的指纹识别技术相比,验证并不严格。

对于该问题,业内人士Nemo解释道,这种情况的发生,其实是指纹识别的“自学习”功能。不过,视频中让“橘子皮”图像通过自学习加入到指纹模板中,达到解锁的效果至少需要“学习”几十次,这样的“破解”在现实生活中可操作性实在太差了。

有网友表示,“对技术边界探索而言,可以说是很有意义的事件。但是对日常使用环境下的逻辑而言,这种破解,其实很难成立。有谁会允许别人往自己手机上贴个胶带纸,还好好解锁三次再借给别人用的?”

怎么办

现在,我们只有等待调查和厂商的rom更新了......

1.关闭指纹解锁,开始密码功能

2.不要让手机离开自己的视线,尽量不要使用指纹贴当然,这个办法对熊孩子可...

所以指纹功能区出现损坏后,一定要及时关闭指纹功能哦。

(本文整理自知乎网友火星超人回答、北京青年报)

20160630000123