指紋識別真的安全嗎?看完這篇文章你就知道了

兩年前，iPhone 5s開啟了智能手機的指紋時代。隨后，一大波Android指紋識別手機相繼涌現(xiàn)。并且在這兩年間，隨著產(chǎn)業(yè)鏈廠商的推波助瀾，指紋識別技術(shù)的門檻在逐漸走低，其終端價格也在迅速下探。原來這一高大上的技術(shù)僅僅是應(yīng)用于高端旗艦機上，而現(xiàn)在千元機同樣也能擁有該功能。

不過，當(dāng)指紋手機走入尋常百姓家的時候，一個不可忽視的問題也隨即而來了：你的指紋手機安全嗎?

近日，在世界黑帽大會(BlackHat)上，來自中國的兩位黑客魏濤、張玉龍發(fā)現(xiàn)了Android指紋識別框架下存在重大漏洞，通過這個漏洞他們可以輕松繞過指紋識別器，進而可以解鎖手機屏幕、安裝應(yīng)用，甚至是轉(zhuǎn)賬支付等。另外，他們還能夠直接拷貝用戶的指紋信息，這將嚴重威脅到了用戶的個人信息及隱私安全。據(jù)悉，此次他們攻破的是HTC One Max、三星Galaxy S5兩款機型。不過，由于該漏洞出現(xiàn)在Android系統(tǒng)層級，也就是說，任何配備指紋解鎖的Android手機都將受到威脅。

那么，一向以安全著稱的指紋識別技術(shù)，為何會頻頻遭到破解?而要回答這個問題，還需要從指紋識別技術(shù)的原理說起。

目前市面上主流的應(yīng)用于智能手機的指紋識別技術(shù)大概有兩種：按壓式和滑動式。它們基本上都是基于電容傳感識別原理：由手指構(gòu)成電容的一極，而傳感器構(gòu)成另一極，通過人體的微電場與電容傳感器間形成微電流，指紋的波峰和波谷形成電容高低差，進而描繪出指紋圖像。然后，用這一圖像與數(shù)據(jù)庫的指紋樣本互相匹配，便完成了一次指紋識別過程。

Android手機廠商在保護指紋方面都是采用芯片級的安全解決方案TrustZone，包括魅族的MX4 Pro、華為的Mate 7等都采用了該方案。它是ARM提供的一種可保護敏感信息的硬件安全架構(gòu)體系，用于把手機從硬件與軟件上分成安全區(qū)與普通區(qū)兩個區(qū)域。安全區(qū)屬于硬件加密級別，因此第三方程序無法訪問其中的敏感數(shù)據(jù)。通過這種硬件+軟件的雙重機構(gòu)完成對指紋識別技術(shù)的安全管控。

但事實上，這種雙區(qū)加密的方式也存在著一定的漏洞。

在整個識別過程中，指紋圖像的匹配過程需要借由軟件實現(xiàn)，而就為黑客們提供了破解的入口。一但該方案出現(xiàn)軟件漏洞時，黑客便能夠在可信區(qū)域執(zhí)行任意代碼，將TrustZone完全攻破。去年8月，有消息爆出高通驍龍系列處理都存在TrustZone漏洞。這些漏洞可以被黑客利用來攻破系統(tǒng)級的保護機制，并獲得用戶隱私資料，甚至包括完成支付等高權(quán)限動作。

TrustZone被視為Anroid指紋手機安全的最后一道防線，然而一旦被攻破，指紋識別也就形同虛設(shè)。不過，目前黑客們都是利用軟件方面的漏洞進行破解，而當(dāng)這些漏洞被發(fā)現(xiàn)后，谷歌便會馬上進行封堵。

那么，果粉們肯定會問了，蘋果的Touch ID安全性又怎么樣?

在這次的世界黑帽大會上，黑客們并沒有攻下蘋果的Touch ID，他們不僅沒有繞過Touch ID，也不能盜走用戶的指紋信息，這其實也體現(xiàn)了iOS作為封閉系統(tǒng)在安全方面的優(yōu)勢。

但這并不能說Touch ID就絕對的安全。其實，iPhone 5s發(fā)布后僅一天，歐洲最大的駭客團體ChaosComputerClub就宣布破解了Touch ID。不過，針對于Touch ID的破解更多是利用指紋膜這樣的方式，真正通過硬件和軟件手段的破解還很少。

在指紋安全方面，蘋果是采用了獨立設(shè)計的Secure Enclave模塊，該模塊同樣是基于ARM 的TrustZone技術(shù)，相當(dāng)于蘋果定制了一個高度優(yōu)化的TrustZone模塊。據(jù)蘋果安全手冊描述，Secure Enclave是蘋果定制的一個單芯片級的協(xié)處理器，在處理安全信息時它會啟動序列碼和軟件更新機制，專門負責(zé)對數(shù)據(jù)保護和加密操作。并且只有Secure Enclave能夠訪問用戶指紋信息，蘋果公司也無法獲知，也不會傳到iCould上面。蘋果將用戶的指紋信息存儲于本地，并沒有上傳到云端，這大大降低了被盜取的可能性。

前Google安全大師、安全領(lǐng)域?qū)＜襍human Ghosemajumder表示過，指紋掃描必須只基于硬件，掃描的過程不能通過軟件激活，或是將指紋信息傳送給軟件。如果該裝置能夠被軟件激活，那么就無法避免被惡意代碼攻擊的風(fēng)險。可以看到的是，不管蘋果Touch ID如何加強硬件的保護機制，但其指紋識別的過程仍需軟件的協(xié)同，而這也讓它存在著一定的安全風(fēng)險。

但不管怎么說，指紋識別仍然是目前能夠廣泛商用，且安全性較高的一種加密方式。并且隨著技術(shù)的演進，一些新型指紋識別技術(shù)開始出現(xiàn)，比如高通已經(jīng)推出了一項黑科技——超聲波指紋識別技術(shù)(超聲波Sense ID)。與電容式識別原理不同，它采取超聲波的掃描方式，因此它不需要電容傳感器或者按鈕，可以隱藏于多種材質(zhì)表面之下?；谶@種技術(shù)，手機廠商可推出不需要Home鍵的智能手機。

另外，除了指紋識別技術(shù)外，虹膜識別(眼球識別)技術(shù)也在日益成熟，并且vivo在其最新旗艦X5 Pro上已經(jīng)運用了該技術(shù)。它是通過掃描用戶獨的眼球靜脈圖案，來辨別不同生物活體，具有更高的安全性和不可復(fù)制性。該技術(shù)同樣可以應(yīng)用于支付類、信息類的加密。

“道高一尺，魔高一丈”，對于黑客們來說，破解之路永遠沒有盡頭。但對于普通用戶來說，除了加強自身的安全意識外，更多的是要享受新技術(shù)帶來的便利和體驗。