聚焦 手机指纹识别真的安全？“假指纹”解锁成功率65%
发布时间：2017-05-02 09:31

　　4月24日，金立演示指纹识别安全防护，硅胶指纹膜被拦下。

　　具有终身性、唯一性、方便性的指纹识别，在信息保密方面的应用已逐渐超过传统的数字、图形密码。近年来，指纹识别已然成为了智能手机的标配，用户只需进行简单的指纹扫描，即可在不输密码的情况下，完成手机的开启、转账、支付等行为。不过，美国研究人员的最新研究显示，使用人工制造的“假指纹”解锁智能手机的成功率高达65%。指纹识别正面临安全危机，手机厂商们如何应对呢？

　　目前市面上主流的应用于智能手机的指纹识别技术基本上都是基于电容传感识别原理：通过人体的微电场与电容传感器间形成微电流，指纹的波峰和波谷形成电容高低差，进而描绘出指纹图像。

　　4月中旬，美国纽约大学和密歇根州立大学研究人员发布的一项研究成果显示，利用人类指纹某些共同点制作的虚假指纹可以骗过智能手机的指纹传感器。通过计算机模拟，研究人员设计了一系列人造的“主指纹”，与指纹传感器中的真实指纹匹配率高达65%。

　　65%看似不高，但实际上已经对指纹识别安全性提出了严重的挑战。

　　目前很多厂商在保护指纹方面都是采用芯片级的安全解决方案，把手机从硬件与软件上分成安全区与普通区两个区域。安全区属于硬件加密级别，第三方程序无法访问。不过，指纹图像的匹配过程需要由软件实现，这为黑客们提供了破解的入口。

　　业内人士认为，手机通过指纹传感器采集用户指纹信息，并将完整的指纹信息存放在指纹Flash中。由于此时指纹信息没有经过硬件加密处理，容易被破解，从而造成用户的指纹信息泄露。

　　近日，威客安全技术合伙人、互联网安全专家安琪发布了一则视频，视频中黑客只需要一个导电硅胶物，就能够复制指纹，然后用自己的手指套上这个导电硅胶物并放在手机指纹识别区，顺利地打开了多个手机。并且，黑客将复制了指纹的导电硅胶物套在手指上，也可以完成指纹的录入。

　　针对这些弱点，手机厂商开始采用更多的方法来保护指纹，比如将指纹的关键信息进行硬件加密存储保护，除了指纹验证外，还采用指纹、血液以及心率信号一同验证用户指纹信息的手段提高安全性。

　　安琪告诉记者，在手机指纹安全加密这一块，需要活体指纹识别方案和指纹加密芯片一起来保障指纹信息的安全，只有两者兼备才能算是安全系数较高的指纹加密手机。不过他也表示，安全永远是相对的。

　　1 金立M6S Plus 指纹+血流+心率检测

　　配置：搭载骁龙653处理器

　　识别：指纹识别+活体检测+加密芯片

　　售价：6GB+64GB标准版售价3499元

　　金立M6S Plus采用了活体指纹识别方案。这种方案可以较好地防范采用普通硅胶指纹膜、导电硅胶指纹膜等破解方式。相较于传统指纹识别方案，活体指纹识别除了识别指纹外，还需要检测识别人体血液流速、心率等活体特征。在识别假指纹，避免指纹Copy上提供了多一层保护。

　　记者在现场体验了金立的活体识别技术，对硅胶指纹膜的防范作用比较明显。此外，金立M6S Plus还搭载了一颗指纹加密芯片，可将指纹的关键信息进行硬件加密存储保护，其他部分的指纹存储在指纹flash中，即便指纹flash中的指纹数据被破解，拿到的也是不完整信息。

　　2 三星GalaxyS8/S8+ 指纹+人脸+虹膜检测

　　配置：搭载骁龙835/Exynos8895处理器

　　识别：指纹识别+面部识别+虹膜识别

　　售价：国内6000元起

　　三星在今年上半年推出的GalaxyS8和S8+，除了搭配有指纹识别和人脸识别外，还增加了人脸识别和虹膜识别功能。其中虹膜识别引发了记者兴趣。

　　据介绍，虹膜是位于人眼的黑色瞳孔和白色巩膜之间的圆环状部分，有很多相互交错的斑点、细丝、冠状、条纹等细节特征。虹膜的这些特征在人的一生中是保持不变的。并且只有活体才能进行虹膜识别，当人死亡后瞳孔放大，虹膜就会消失。具有唯一性。体验显示，虹膜识别也比较方便，距离手机25至30厘米，用户看一下手机就可以识别，可以解放用户的双手做其他事。

　　3 华为Mate 9　3D指纹+金融级芯片

　　配置：搭载高通骁龙653处理器

　　识别：3D指纹识别+金融级芯片加密

　　售价：4G+64G版3899元

　　记者使用发现，华为Mate 9采用据称是第四代的3D指纹加密技术，采集的指纹信息更加丰富，加上其内置的指纹防伪算法，能够智能识别盗取指纹制作的假手指，提升用户安全性。对于伪造的硅胶指纹膜有一定防护性。

　　除此之外，华为自产的麒麟960芯片获得央行和银联双重安全认证，并内置安全引擎，将安全芯片集成到处理器当中，不仅具备软件安全防备能力，对物理层面的攻击也可防护。

　　新京报记者 马婧