一段膠帶就能破解你手機(jī)指紋鎖

　　指紋開(kāi)機(jī)，指紋手機(jī)支付，對(duì)于很多手機(jī)一族來(lái)說(shuō)，這可能已經(jīng)成為日常生活中的一部分！不過(guò)，最近一家蘇州公司就向國(guó)家工信部、公安部、網(wǎng)信辦、人民銀行等四部門(mén)舉報(bào)，他們發(fā)現(xiàn)了手機(jī)指紋解鎖存在的一個(gè)驚天漏洞——只要用一段透明膠帶+一支導(dǎo)電筆，就可以秒破手機(jī)指紋識(shí)別系統(tǒng)，輕松開(kāi)機(jī)，甚至支付。你還敢放心地使用手機(jī)指紋支付嗎？

資料圖：山西太原，民眾正在使用手機(jī)支付。 中新社記者 張?jiān)?攝

　　紫牛新聞?dòng)浾?薛馬義

　　現(xiàn)場(chǎng)演示

　　導(dǎo)電筆+透明膠帶，秒開(kāi)手機(jī)指紋鎖

　　12日下午，在位于蘇州獨(dú)墅湖科教創(chuàng)新區(qū)的這家企業(yè)實(shí)驗(yàn)室內(nèi)，該公司首席技術(shù)官李揚(yáng)淵向揚(yáng)子晚報(bào)紫牛新聞?dòng)浾哐菔玖诉@一破解過(guò)程。

　　首先，李揚(yáng)淵隨便從辦公室的員工中拿來(lái)一部手機(jī)，用左手大拇指按在指紋解鎖鍵上，按程序，將手機(jī)設(shè)置成為指紋解鎖模式。

　　那么，指紋解鎖怎么破呢？且看下面的操作：

　　步驟一

　　李揚(yáng)淵拿來(lái)一段透明膠帶+一支導(dǎo)電筆，用導(dǎo)電筆在透明膠帶上，畫(huà)上一些圖案(工作人員展示使用的是最普通的膠帶)。

　　步驟二

　　把圖案部分對(duì)準(zhǔn)手機(jī)指紋解鎖鍵，將透明膠帶貼在手機(jī)上。

　　步驟三

　　李揚(yáng)淵用大拇指按在指紋解鎖鍵上，將手機(jī)開(kāi)屏、鎖屏，反復(fù)三次后，再將手機(jī)調(diào)至鎖屏狀態(tài)。

　　最后

　　李揚(yáng)淵將食指按在指紋解鎖鍵上。揚(yáng)子晚報(bào)紫牛新聞?dòng)浾呖吹剑@部當(dāng)初李揚(yáng)淵用左手大拇指設(shè)置成指紋解鎖模式的手機(jī)，竟然解鎖了(上圖：手機(jī)被成功解鎖)。

　　李揚(yáng)淵又用他的其他8個(gè)指頭，成功將這部手機(jī)解鎖。他甚至還拿了一塊海綿清洗布，按在手機(jī)指紋解鎖鍵上，也成功解鎖。

　　“海綿清洗布只是一個(gè)道具而已，你用一塊橘子皮等其他材料，只要按在手機(jī)指紋解鎖鍵上，都可以將這部手機(jī)成功解鎖。”李揚(yáng)淵表示，這個(gè)破解方式對(duì)任何品牌的手機(jī)都可以。“手機(jī)能被別人解鎖，那么手機(jī)所有者的隱私和秘密，也就一覽無(wú)余。”

　　“隱私泄露只是一部分，”李揚(yáng)淵告訴紫牛新聞?dòng)浾?，如果手機(jī)上的支付方式，采用的是指紋支付，那就意味著面臨財(cái)產(chǎn)損失的安全隱患。“別人可以輕松地用這個(gè)方式，將你微信、支付寶和網(wǎng)銀賬戶里的錢(qián)，成功轉(zhuǎn)移走。”

　　在采訪中，揚(yáng)子晚報(bào)紫牛新聞?dòng)浾吡私?，目前微信、支付寶，包括一些銀行的手機(jī)賬戶，確實(shí)是采用了指紋這個(gè)方式進(jìn)行支付和轉(zhuǎn)賬。

　　揭秘

　　為什么能做到

　　任意解鎖？

　　指紋解鎖原理是這樣的

　　李揚(yáng)淵告訴紫牛新聞?dòng)浾?，其?shí)現(xiàn)在我們將手機(jī)設(shè)置成為指紋解鎖的模式，是通過(guò)我們?cè)谑謾C(jī)上首次錄入手機(jī)指紋時(shí)，在手機(jī)本地?cái)?shù)據(jù)庫(kù)里保存下一個(gè)指紋圖案。

　　多次按下那個(gè)手指后，就是在手機(jī)本地?cái)?shù)據(jù)庫(kù)里，對(duì)這些圖案，進(jìn)行多次識(shí)別、對(duì)比和存儲(chǔ)，最終成功將這些圖案集納固定在手機(jī)本地?cái)?shù)據(jù)庫(kù)里。

　　“通過(guò)這個(gè)方式，我們將手機(jī)設(shè)置成指紋解鎖模式后，當(dāng)我們用手指再次按在解鎖鍵上時(shí)，系統(tǒng)將采集到的圖案信息和數(shù)據(jù)庫(kù)里的圖案信息進(jìn)行對(duì)比，如果達(dá)到了手機(jī)軟件當(dāng)初設(shè)定的相似度，就可以成功將手機(jī)解屏。”

　　但，問(wèn)題恰恰就出現(xiàn)在這里。

　　一段膠帶“偷梁換柱”

　　“手機(jī)的指紋識(shí)別，并不是我們想象中的那樣100%比對(duì)一致才會(huì)驗(yàn)證通過(guò)解鎖。可能只要20%左右就可以了。”李揚(yáng)淵說(shuō)，當(dāng)手機(jī)的指紋按鍵，貼上動(dòng)了手腳的膠帶后，機(jī)主用手指按鍵時(shí)，通過(guò)傳感器，手機(jī)就會(huì)生成新的指紋圖案。“新指紋圖案等于導(dǎo)電液圖案，加上機(jī)主手指指紋。”在機(jī)主連續(xù)鎖屏，再指紋解鎖開(kāi)機(jī)之后，智能機(jī)的學(xué)習(xí)功能，就能讓它“機(jī)靈”地記住了新的、帶有導(dǎo)電液圖案的指紋圖。這時(shí)，機(jī)主的任何一根手指或任何人的手指去進(jìn)行指紋解鎖，會(huì)形成一個(gè)個(gè)帶著同樣導(dǎo)電液圖案的新指紋，而手機(jī)只識(shí)別這個(gè)導(dǎo)電液圖案就解鎖放行。

　　可怕的風(fēng)險(xiǎn)

　　“手機(jī)指紋識(shí)別系統(tǒng)上的這個(gè)漏洞，其實(shí)蠻可怕的。”李揚(yáng)淵說(shuō)，比如有人可以利用修手機(jī)時(shí)的指紋貼來(lái)盜取識(shí)別。“指紋貼是防手汗的。貼上去以后發(fā)現(xiàn)不怎么好用，商家會(huì)建議你重新錄入一遍指紋，這時(shí)候你要是再重新錄入一遍指紋，那就中招了。”

　　“用導(dǎo)電筆，事先在指紋貼上畫(huà)上幾筆就行，只要貼了這層膜，手機(jī)也可以解鎖。”原來(lái)，手機(jī)的指紋識(shí)別軟件，會(huì)把導(dǎo)電涂料的圖案也識(shí)別成主人指紋的一部分。之后，別人的手指再按上去，雖然一半的指紋不對(duì)，但導(dǎo)電涂料的圖案卻被識(shí)別為指紋，從而手機(jī)被解鎖。

　　本質(zhì)是圖像識(shí)別解鎖

　　李揚(yáng)淵認(rèn)為，目前包括蘋(píng)果在內(nèi)的指紋算法供應(yīng)商，只是做了指紋認(rèn)識(shí)，而不是嚴(yán)格意義上的指紋識(shí)別。

　　在采訪中，揚(yáng)子晚報(bào)紫牛新聞?dòng)浾叩弥?，李揚(yáng)淵他們之所以會(huì)發(fā)現(xiàn)這個(gè)指紋漏洞，是因?yàn)?017年下半年他看到一則新聞報(bào)道——一位機(jī)主有一次將安卓機(jī)摔壞了，指紋鍵形成永久裂紋后，那部手機(jī)卻變?yōu)槿巳四芙怄i了。“以前一般情況下，我們會(huì)以為這是個(gè)個(gè)案，是巧合。后來(lái)我們深入一研究，卻發(fā)現(xiàn)是這個(gè)漏洞造成的。”

　　追問(wèn)

　　為何會(huì)有這樣的漏洞

　　制造商之所以要降低手機(jī)指紋的識(shí)別度，在李揚(yáng)淵看來(lái)，第一，可能是考慮客戶的舒適度。“識(shí)別度低，解起鎖來(lái)，成功率高，客戶用起來(lái)也更方便。否則的話，如果制造商提高識(shí)別度，解鎖通過(guò)率會(huì)低，讓客戶感覺(jué)不方便。”

　　當(dāng)然，李揚(yáng)淵也表示，他們也不能排除有一種可能，就是手機(jī)這一指紋識(shí)別軟件系統(tǒng)的供應(yīng)商，軟件制作業(yè)務(wù)水平實(shí)在太差，才造成了如此大的安全漏洞。

　　李揚(yáng)淵告訴揚(yáng)子晚報(bào)紫牛新聞?dòng)浾撸壳瓣P(guān)于手機(jī)這塊，主要是工信部在管理，而管理范圍又主要集中在手機(jī)入網(wǎng)和通信質(zhì)量等方面。指紋解鎖這些安防上的日常監(jiān)管和市場(chǎng)準(zhǔn)入，主管部門(mén)則是公安部門(mén)。“換句話說(shuō)，目前管理手機(jī)的部門(mén)，恰恰在指紋解鎖方面不是很專業(yè)。而專業(yè)的部門(mén)，恰恰又不是目前的監(jiān)管部門(mén)。”

　　提個(gè)醒

　　日常生活中，別讓你的手機(jī)離開(kāi)你的視線，基本上就不會(huì)給別有用心者機(jī)會(huì)，在你手機(jī)上做手腳來(lái)破解你的指紋鎖。

　　堵漏

　　有關(guān)部門(mén)已行動(dòng)

　　采訪中，李揚(yáng)淵告訴揚(yáng)子晚報(bào)紫牛新聞?dòng)浾撸麄兿驀?guó)家工信部、公安部、網(wǎng)信辦、人民銀行舉報(bào)后，有關(guān)部門(mén)已有所行動(dòng)。

　　目前好像質(zhì)檢總局已經(jīng)介入了，將來(lái)可能要把這個(gè)納入手機(jī)生產(chǎn)質(zhì)量監(jiān)管內(nèi)。“這個(gè)軟件上的漏洞，可以歸結(jié)為產(chǎn)品質(zhì)量問(wèn)題。”李揚(yáng)淵說(shuō)，未來(lái)國(guó)家工商總局也可能重點(diǎn)跟進(jìn)該安全漏洞，基于質(zhì)檢部門(mén)做出的技術(shù)判定進(jìn)行行政執(zhí)法工作。而手機(jī)主管部門(mén)工信部也已為該安全漏洞的檢測(cè)標(biāo)準(zhǔn)立項(xiàng)，以將存在安全缺陷的手機(jī)阻擋在面市之前。

　　■新聞延伸

　　手機(jī)網(wǎng)銀也可能 存在漏洞

　　“實(shí)際上，手機(jī)網(wǎng)上銀行也風(fēng)險(xiǎn)重重。”李揚(yáng)淵告訴紫牛新聞?dòng)浾撸Ｇ闆r下，當(dāng)機(jī)主使用手機(jī)網(wǎng)上銀行時(shí)，一般都是產(chǎn)生銀行賬戶和密碼等機(jī)密信息。這些機(jī)密信息，按照正常要求，是要在手機(jī)里單獨(dú)開(kāi)辟一塊很安全的私密空間，進(jìn)行單獨(dú)安全存儲(chǔ)，也就是相當(dāng)于在一個(gè)銀行里設(shè)置一個(gè)保險(xiǎn)箱。即使手機(jī)被植入木馬病毒，這些機(jī)密信息也不會(huì)被盜取。

　　不過(guò)，現(xiàn)在很多品牌手機(jī)商，為了節(jié)約成本，在手機(jī)里，并沒(méi)有單獨(dú)為機(jī)主開(kāi)設(shè)這個(gè)“保險(xiǎn)箱”。一旦手機(jī)被植入木馬病毒，這些存在手機(jī)里的機(jī)主機(jī)密信息，就成了“裸奔”的信息，可以被隨意盜取。

　　李揚(yáng)淵建議，在使用手機(jī)網(wǎng)上銀行時(shí)，一定要事先檢查一下自己的手機(jī)里，是否設(shè)置了這個(gè)“保險(xiǎn)箱”。如果無(wú)法確定，最好不要在手機(jī)上使用網(wǎng)上銀行。

來(lái)源：http://finance.chinanews.com/cj/2018/01-14/8423516.shtml