视觉中国 |
本报记者 刘园园
手指轻轻一按,屏幕瞬间解锁——自从手机有了指纹解锁功能,连密码都懒得输了。可是,假如这条快捷通道,连橘子皮都能轻而易举地攻破,你作何感想?
近日,一段用橘子皮解锁手机的视频在网上疯传。手机指纹识别键经过简单处理后,不但任何人都可以解锁你的手机,连橘子皮都能轻松实现“芝麻开门”。
导电材料“愚弄”指纹模板
指纹解锁不是只能识别用户独特的指纹吗?橘子皮是如何派上用场的?
这段视频介绍,先用胶带将一片黄豆大小的导电材料粘贴到指纹解锁键上,然后用户自己在指纹解锁键上按几次。之后,将贴着导电材料的手机交给任何人,他们都可以用任何手指随意解开手机。
“躺枪”的既有安卓手机也有苹果手机。贴着这块导电材料,有的手机甚至用橘子皮、卫生纸都能解锁。
“被攻破的手机指纹解锁功能一定是电容式的。”中国科学院自动化研究所副研究员臧亚丽在看到新闻后笃定判断。
臧亚丽介绍,目前手机指纹解锁的传感器主要有三种——电容式、光学式和超声波式。其中电容式是目前在手机上应用最成熟、最广泛的方式。它主要依靠皮肤的导电性能来采集指纹的特征,假如你的手机解锁键上有个金属圈或表面呈平滑金属色,那通常是电容式了。其余两种则是近一两年开始在手机上迅速应用的方式。
在视频中披露这种漏洞的苏州迈瑞微电子有限公司董事长、首席技术官李扬渊介绍,用户在手机上首次录入指纹后,手机芯片数据库中会保存指纹图案。用户使用指纹解锁时,手机会自动对比指纹与录入图案是否一致。
“如果在指纹解锁键贴上带有纹理的导电材料,并连续解锁几次,手机指纹解锁键会将这块纹理图案判断为,这是用户在录入指纹时遗漏的部分,然后更新到指纹数据库中。”臧亚丽说,前提是,手机指纹解锁功能允许指纹模板自动更新。
一旦指纹模板进行更新,此后任何人的指纹,甚至橘子皮都可以解开这部贴有导电材料的手机。这是因为每次解锁时,指纹识别键都会识别出导电材料的图案,接着和指纹模板进行对比,然后就轻松攻入了。
也就是说,后面的事情只是在匹配导电材料的图案,至于是谁在解锁、用什么解锁,都没有关系了。
用户需求造成如此“漏洞”?
可是这块导电材料只有黄豆大小,而且又不是指纹,为何只要这块导电材料的图案匹配成功,就能解锁呢?
“这是因为手机指纹解锁功能有两个特征:只对部分图案进行对比,而不对比全部;只对图案进行对比,而不去识别它到底是不是指纹。” 臧亚丽告诉科技日报记者。
臧亚丽介绍,手机的指纹解锁功能可以分为两部分——采集和识别。采集部分由传感器来完成,这就有了电容式、光学式、超声波式等采集方法的不同。识别部分则一般由本地芯片来完成,主要是运用算法进行图像识别。
与其他设备的指纹识别不同,手机由于考虑到美观、小巧的需要,指纹解锁键非常小,这意味着它每次只能采集到一部分指纹。
我们在手机上录入指纹时,需要将手指的上下左右按压很多次。“每按压一次,手机就会采集一部分指纹图案,并储存成一个指纹模板。”臧亚丽告诉记者,有的手机会将多个指纹模板拼接成完整指纹,有的则储存着多个不完整指纹。
在使用过程中,我们每次按压指纹解锁键时,按压的位置、面积都不尽相同。如果指纹芯片每次都要匹配完整指纹,或者要匹配的指纹面积比较大,则意味着会频繁出现解锁失败的情况。
“因此,为了保证用户指纹解锁的成功率,负责指纹解锁的芯片,只判断指纹的局部是否匹配。”臧亚丽说。
至于为什么指纹芯片在识别过程中,只管匹配录入的图案,不管录入的是不是指纹,这又涉及多种因素。
臧亚丽告诉记者,目前使用人工智能算法,完全可以利用指纹的纹理等特征,来判断某种图案是否属于指纹,成功率可以达到90%以上。甚至还可以利用皮肤的弹性等特征判断,是否属于人造假指纹。
“但大多数手机指纹解锁功能并没有加入这种算法。”臧亚丽分析,这是因为计算某个纹路与天然指纹的相似度和计算纹路图案与模板是否匹配,是两个完全不同的步骤。从用户需求的角度来讲,纹路是否匹配才是解锁手机所必须的功能。
专门在指纹芯片中加入算法,去识别某种纹路是否属于天然指纹,这意味着什么?对手机厂商来说,这意味着会增加成本。对消费者而言,这意味着延长解锁时间。
总之,无论是提高指纹解锁的匹配面积,还是精确识别某种纹路是不是天然指纹,手机厂商都可以通过算法更新实现。但从市场的角度来看,这都有点吃力不讨好。
安全与便捷,没有绝对
“这则新闻说明不了什么问题。”在通信行业专家项立刚看来,实现橘子皮解锁手机的条件比较特殊,在正常情况下很难实现。
项立刚分析说,用橘子皮解锁手机的前提是,对方要在你手机指纹解锁键上神不知鬼不觉地贴一块特殊导电材料,然后需要你在这块导电材料上连续多次解锁手机,然后对方再把手机拿走使用。实际操作起来并非听起来那么容易。
“使用手机指纹解锁功能,首先是为了方便。”项立刚认为,对手机而言,不存在绝对安全或绝对便捷的保护方式。这与密码设置越长,越不容易被破解,但用户自己用起来也越麻烦是一个道理。
臧亚丽告诉记者,不同指纹解锁方式各有特点,安全性能也有所不同。
相比电容式手机指纹解锁,最新发展起来的超声波指纹解锁安全指数会更高一些。它会直接发射超声波到手指的真皮层甚至更深,这种采集方式本身就具有很好的防伪能力。而光学指纹解锁则依据光的反射原理,防伪能力相对较差。
不单是指纹识别,虹膜识别、人脸识别等生物识别方式在各行各业的应用也越来越广泛,它们的安全性(精准度)与便捷性也各有短长。
臧亚丽介绍,相对而言,在指纹识别、虹膜识别、人脸识别这几种生物识别方式当中,虹膜识别的精度最高、安全性最好,因为它直接对眼里的虹膜进行拍照采集,一般不会出现其他干扰因素,但采集难度相对较高。
指纹识别的特征是采集方便,随手一按,便可采集成功。同时也非常容易受到干扰,比如手指出汗、受伤等等都会影响识别效果。
人脸识别的精准度和安全性在三者之中是最差的。但它的好处是采集方便,而且可实现远距离拍摄。
“对手机来说,这些识别方式的安全性都是相对的,没有绝对安全的识别方式。”臧亚丽说,在安全性与便捷性之间进行取舍,不仅要看技术的发展水平,还要看消费者的接受程度。