两大原则攻其软肋 指纹识别安全成最大隐患
苹果这家公司向来是扮演手机潮流引领者的角色,2012 年,苹果以3.56亿美元收购了AuthenTec,这家公司来头不小,可算是当时按压式指纹识别做得最好的公司了,苹果对其收购,当然是有理由的,2013年9月20日,iPhone 5s首发,这款手机跟苹果之前手机最大的不同就是其内置了指纹识别功能,iPhone 5s也因此被媒体评为“本年度最具创新力的十大设备”,自此,指纹识别技术纷纷被其他手机品牌加诸到自己新研发的手机上,但苹果玩了个阴招,那就是别的品牌若想要应用此技术则必须向苹果支付专利费,这是其他手机品牌不愿意看到的,纵然是有苦也无处诉说了,因此苹果相当于垄断了该技术,该技术的应用也仅苹果一家,别无分店。尽管苹果这种过河拆桥的做法有点不厚道,但你有你的过河桥,我有我的爬墙梯,那么不妨来看看除苹果外的其他主流手机品牌又采用了哪些指纹识别技术呢?
各大指纹识别技术比拼
作为手机巨头的三星当然不会在指纹识别上让苹果独美,在2014年2月推出的旗舰机型s5上,三星亦首次引入了指纹识别功能,s5采用了Validity的解决方案,该方案是基于电容和无线射频(RF)的半导体传感器,这点跟苹果的方案一样,与苹果按压式识别不同的是,s5的识别方式是滑动式,其缺点是在进行指纹识别时手指必须得安照固定的方向滑动才能进行识别,这跟苹果可实现360°无死角识别的方式是有颇大差距的,其实三星的这套解决方案原本是用在笔记本的指纹识别应用上的,却被三星用在了手机上,很显然,三星有点病急乱投医的味道了,好在三星在新近推出的旗舰机型上改进了指纹识别方案,其体验也非从前可比了。
三星S5采用Validity滑动式,指纹模块置于Home键
下表是苹果指纹识别方案与三星指纹识别方案的比较。
华为,作为国产手机巨头,在其Mate 7手机上也加入了指纹识别功能,其识别方式跟苹果一样,也是按压式的,为华为提供解决方案的是一家瑞典的公司,名叫Fingerprint Cards ab(简称FPC)。该公司技术实力雄厚,其提供的指纹解决方案同样支持 360°识别,据称其精度、时间、识别面积等都比iPhone 5S的体验要好,遗憾的是该套指纹识别模块被安在了手机背面。
华为Mate7采用FPC按压式,置于手机后盖方案
作为国产手机的魅族,其在手机设计上的实力不容置疑,同样,魅族也在自己的旗舰机型mx4 pro上加入了指纹识别功能,为魅族提供指纹识别芯片解决方案的是一家来自深圳的本土企业汇顶科技,Validity 和Fingerprint Cards ab没有做到的事情,汇顶科技做到了,跟苹果一样,魅族mx4 pro也将指纹模块集成在了机身正面的HOME键上,这样做的好处显而易见,其一是不需要培养用户的使用习惯;其二是不需要在手机上设计新的空间来放置指纹识别功能。汇顶科技的这套解决方案在解锁速度与识别成功率上与苹果的方案差别不大,实际的使用体验亦基本相当,国产品牌在指纹识别领域的研发实力不容小视。
魅族mx4 pro的指纹识别模块采用汇顶科技的解决方案
此外像HTC、酷派、VIVO等品牌亦推出了各自加载指纹识别功能的手机,指纹识别技术俨然已经成为了手机领域内的热门技术,随着三大巨头苹果、谷歌及三星纷纷发力于移动支付领域,而指纹识别技术在移动支付领域天生具备的便利性与安全性使得其亦越来越受到厂商的青睐,相信这也会迅速催熟整套指纹识别应用产业链,而目前应用于手机领域的指纹识别技术厂商主要有AuthenTec、Synaptics新思(Validity)、 Fingerprint Cards AB(FPC)、CrucialTec、IDEX以及Goodix汇顶科技等,这些科技公司的技术实力毋容置疑,但这是不是就意味着指纹识别技术就无懈可击了呢?当然不是!
要确保指纹识别安全 首先要做到软件与硬件“分离”
手机指纹识别技术最大的隐患在于安全性,指纹本身是无法被破解的,但是指纹必须转化为信息才能被应用,而指纹信息就很可能被非法获取,对此,前Google 安全大师,安全领域的专家Shuman Ghosemajumder在接受采访时表示,建立指纹的云端数据存储中心是极端危险的,但无疑苹果在这方面会得到世界级安全专家的建议。
那么又该如何解决指纹识别技术的安全性问题呢?Shuman Ghosemajumder在接受采访时同样回答了这个问题,他认为要想很好的解决指纹识别的安全性问题,起码得遵循2点原则:第一,指纹扫描必须只基于硬件,绝不能通过软件激活,或是将指纹信息传送给软件。如果该装置能够被软件激活,则无法避免被恶意代码攻击的风险。而基于硬件的实现仅会通知软件“指纹验证通过”或“指纹验证失败”,但不会与软件分享任何指纹相关的数据与信息;第二,在本地存储的指纹信息,其存储位置必须非常安全,这个位置必须禁止软件的访问,否则黑客会通过破解软件的方式来获取指纹信息。
显然,要确保指纹识别功能的安全性,首先要做到的便是将软件与硬件各行其是,指纹信息应该只存在于硬件中,软件绝不能访问指纹信息,因为软件一旦可以访问指纹信息的话,那么黑客可轻易地通过破解软件从而实现对指纹信息的访问,硬件与软件间的交流也仅限于将指纹信息对比后的结果,即录入的指纹信息是否与储存的指纹信息一致这个结果进行传递,而非对指纹信息本身进行传递,同样道理我们知道,倘若苹果要建立指纹的云端储存中心,那么一旦云储存服务器被攻克(这对黑客来说并不困难),那么储存于其上的用户指纹信息也将泄露,其结果将是灾难性的,因为你没法改变您的指纹信息,这样的结果将会伴随你一生。
因此,Shuman Ghosemajumder提到的2点原则应该成为所有指纹识别手机厂商都应该遵循的基本原则,此外,对系统软件本身的不断改进与完善亦不可忽视,限于手机生产商本身研发实力的参差不齐,往往容易导致指纹识别手机出现严重的安全漏洞,以魅族mx4 pro为例,该手机的指纹识别体验相当不错,从完成对指纹的识别到点亮屏幕可谓一气呵成,但该机有一个致命的安全漏洞,那就是即使已开启了指纹解锁功能,但只要进入“工程模式”,就能轻易清除指纹解锁,实现对手机全部功能的访问,从而让指纹识别锁形同虚设,这是一个非常严重的bug,由此亦凸显出指纹识别功能在手机安全性应用上的形势不容乐观。
毫无疑问,越来越多的手机将会加入指纹识别功能,指纹识别功能也把人们从繁琐的密码记忆中解脱出来,在给人们生活带来便利的同时,笔者还是不禁要问一句:你所用手机的指纹识别功能到底安全可靠吗?(责编:王琼芳)
本文为华强电子网原创,版权所有,转载需注明出处
推荐阅读