“人人可解” 手机指纹芯片漏洞依然存在
部分厂商已被国家质检总局约谈 华为称正与产业链合作伙伴一同制定修复计划
从2017年10月末到12月初,《IT时报》连续多篇文章,独家报道了手机指纹芯片漏洞所引发的安全问题。本周记者发现,此前报道中提及的几款机型尚未拿出针对指纹漏洞的解决方案,手机依旧可以被“秒解”。而由此引发的手机安全问题,已经引起相关部门的高度重视。
《IT时报》记者联系了数家厂商,华为方面称已经与相关监管和标准部门积极沟通,并正在和产业链合作伙伴一同制定修复计划。同时华为提醒用户,应建立起必要的安全意识,避免手机被恶意解锁。
漏洞仍未修复
为了让手机指纹芯片的尺寸更小,目前指纹芯片普遍采用全图像比对算法。简单来说,就是注册时将指纹存储为图像,解锁时系统将需识别的图像与录入图像进行比对,图像一致即可通过。
但由于指纹图像根据按压的力度、手指的干湿度等情况不同,会导致按压时图像有所差异,所以全图像算法的一大特点是拥有自学习功能,也就是说指纹芯片要不断学习新的特质、更新图像以保证识别通过率。
不过正是因为自学习功能的存在,为手机安全留了一道暗门。只是简单的利用胶带,将人为成像黏附在Home键上,手机就可以“人人可解”,华为、小米、OPPO、vivo等这些国产手机一线品牌的主流机型全部中招。
2018年1月中旬,上述报道见报一个月后,记者将四款手机的系统升级到最新版本后,再一次进行相同测试。无一例外,四款机型均能秒被破解,然后“人人可解”。
那么在这段时间,手机厂商采取了哪些补救措施?记者为此联系了华为、小米、OPPO、vivo和指纹芯片供应商汇顶科技。华为对此进行了回应,另外几家厂商在截至记者发稿前尚未给出回应。
华为表示,指纹解锁作为一项已经得到市场普遍认可的相对成熟的安全技术,消费者对此不必太过恐慌。
在传统指纹芯片行业深耕十多年的上海图正董事长刘君表示,一个月时间可能太短。“修补漏洞,其实是产业链的问题,并不是说单手机厂商就能完成,归根结底应该是算法厂商进行主导。而且手机厂商的指纹芯片供应商不止一家,将问题修正过来的确需要一定的周期。”
据业内人士透露,小米、OPPO正在积极推动事情的解决,但仍有相关手机和指纹芯片厂商反应较慢。刘君认为,应该正确去理解指纹安全方面的漏洞,“不需要将漏洞严重化,但要积极应对并加快解决。”
指纹识别标准制定中
一名业内人士向记者透露,华为等手机厂商已被国家质检总局约谈,被要求在限定期限内整改,并表示将来将指纹芯片安全问题纳入手机生产质量监管内。记者为此致电质检总局求证,但在截稿前未得到回复。
记者同时获悉,在之前由全国信息技术标准化技术委员会(简称“信标委”)举行的相关会议上,指纹芯片漏洞引起了大家的重视。与会人员透露,“信标委”曾在内部征询意见,形成了《移动设备指纹识别应用安全问题分析与标准制订现状》报告。这份报告内容显示,暴露出的指纹芯片安全问题不仅仅是移动设备终端厂商对指纹识别安全性不够重视,而且移动设备指纹识别标准制订也相对滞后,设备厂商对移动设备中还存在的安全风险缺乏系统性分析和预防措施。此外,相关厂商标准化意识淡薄,而且因为缺少监管措施与检测手段,各厂商缺少统一的检测标准,检测方法和手段有缺陷,这些都是导致当下手机指纹芯片存在漏洞的原因。
据了解,有关指纹识别技术的相关标准正在推动制订中,中国电子技术标准化研究院已经搭建了指纹识别产品的标准验证平台,能够对指纹识别产品进行标准符合性测试和功能性能测试,同时针对目前存在的安全性问题,实验室也在搭建平台进行深入研究。
部分厂商已被国家质检总局约谈 华为称正与产业链合作伙伴一同制定修复计划
参考观研天下发布《2017-2022年中国指纹识别系统行业市场发展现状及十三五投资动向研究报告》
仅仅贴一张膜,就可能让手机指纹锁形同虚设,涉及的手机品牌几乎包括所有主流国产手机厂商。从2017年10月末到12月初,《IT时报》连续多篇文章,独家报道了手机指纹芯片漏洞所引发的安全问题。本周记者发现,此前报道中提及的几款机型尚未拿出针对指纹漏洞的解决方案,手机依旧可以被“秒解”。而由此引发的手机安全问题,已经引起相关部门的高度重视。
《IT时报》记者联系了数家厂商,华为方面称已经与相关监管和标准部门积极沟通,并正在和产业链合作伙伴一同制定修复计划。同时华为提醒用户,应建立起必要的安全意识,避免手机被恶意解锁。
漏洞仍未修复
为了让手机指纹芯片的尺寸更小,目前指纹芯片普遍采用全图像比对算法。简单来说,就是注册时将指纹存储为图像,解锁时系统将需识别的图像与录入图像进行比对,图像一致即可通过。
但由于指纹图像根据按压的力度、手指的干湿度等情况不同,会导致按压时图像有所差异,所以全图像算法的一大特点是拥有自学习功能,也就是说指纹芯片要不断学习新的特质、更新图像以保证识别通过率。
不过正是因为自学习功能的存在,为手机安全留了一道暗门。只是简单的利用胶带,将人为成像黏附在Home键上,手机就可以“人人可解”,华为、小米、OPPO、vivo等这些国产手机一线品牌的主流机型全部中招。
2018年1月中旬,上述报道见报一个月后,记者将四款手机的系统升级到最新版本后,再一次进行相同测试。无一例外,四款机型均能秒被破解,然后“人人可解”。
那么在这段时间,手机厂商采取了哪些补救措施?记者为此联系了华为、小米、OPPO、vivo和指纹芯片供应商汇顶科技。华为对此进行了回应,另外几家厂商在截至记者发稿前尚未给出回应。
华为表示,指纹解锁作为一项已经得到市场普遍认可的相对成熟的安全技术,消费者对此不必太过恐慌。
在传统指纹芯片行业深耕十多年的上海图正董事长刘君表示,一个月时间可能太短。“修补漏洞,其实是产业链的问题,并不是说单手机厂商就能完成,归根结底应该是算法厂商进行主导。而且手机厂商的指纹芯片供应商不止一家,将问题修正过来的确需要一定的周期。”
据业内人士透露,小米、OPPO正在积极推动事情的解决,但仍有相关手机和指纹芯片厂商反应较慢。刘君认为,应该正确去理解指纹安全方面的漏洞,“不需要将漏洞严重化,但要积极应对并加快解决。”
指纹识别标准制定中
一名业内人士向记者透露,华为等手机厂商已被国家质检总局约谈,被要求在限定期限内整改,并表示将来将指纹芯片安全问题纳入手机生产质量监管内。记者为此致电质检总局求证,但在截稿前未得到回复。
记者同时获悉,在之前由全国信息技术标准化技术委员会(简称“信标委”)举行的相关会议上,指纹芯片漏洞引起了大家的重视。与会人员透露,“信标委”曾在内部征询意见,形成了《移动设备指纹识别应用安全问题分析与标准制订现状》报告。这份报告内容显示,暴露出的指纹芯片安全问题不仅仅是移动设备终端厂商对指纹识别安全性不够重视,而且移动设备指纹识别标准制订也相对滞后,设备厂商对移动设备中还存在的安全风险缺乏系统性分析和预防措施。此外,相关厂商标准化意识淡薄,而且因为缺少监管措施与检测手段,各厂商缺少统一的检测标准,检测方法和手段有缺陷,这些都是导致当下手机指纹芯片存在漏洞的原因。
据了解,有关指纹识别技术的相关标准正在推动制订中,中国电子技术标准化研究院已经搭建了指纹识别产品的标准验证平台,能够对指纹识别产品进行标准符合性测试和功能性能测试,同时针对目前存在的安全性问题,实验室也在搭建平台进行深入研究。
华为方面则表示,已经与相关监管和标准部门积极沟通,并正在和产业链合作伙伴一同制定修复计划。同时华为表示,任何安全技术都不是绝对的,提醒用户保持良好的使用习惯,保持手机在视线或控制范围内,在解锁指纹时注意指纹按键处是否有膜等异物存在。
资料来源:互联网,观研天下ZTT整理
更多好文每日分享,欢迎关注公众号
【版权提示】观研报告网倡导尊重与保护知识产权。未经许可,任何人不得复制、转载、或以其他方式使用本网站的内容。如发现本站文章存在版权问题,烦请提供版权疑问、身份证明、版权证明、联系方式等发邮件至kf@chinabaogao.com,我们将及时沟通与处理。
