近日,网络上一篇“一片橘子皮秒开手机指纹锁转账支付”的文章和视频引起了广泛关注。 提到对于需要指纹验证的手机,通过一些简单的处理方法,任何人的指纹都可以解锁,一张橘子皮也可以。
央视新闻近日报道并证实了这一消息。
指纹触摸键坏了
任何人都可以解锁
不久前,来自安徽的小徐摔倒在地,将指纹触摸按键弄裂。 让他吃惊的是,其他人可以用指纹解锁他的手机。 不仅如此指纹锁,对于小旭手机中一些需要指纹识别才能使用的支付应用,陌生的指纹也可以进行验证和使用。
小许电话采访:
我不小心把手机掉在地上,我看到上面有一条裂缝。 我认为这个(指纹功能)可能不再有效。 然后拿过来用了一下,发现还是可以指纹解锁的指纹锁,还是一样的,可以用支付宝指纹支付。
第二天,我在课堂上玩手机,同学摸了我的手机解锁了。 我当时有点糊涂。 因为他是第一次用我的手机,为什么能解锁,后来试了一下,发现大家都能解锁,发现用手机支付什么都可以。
随后,小徐第一时间联系了手机厂商,商家为小徐屏蔽了指纹功能。
苏州某科技公司的技术人员看到网上视频,了解到事件后,在实验室模拟了手机指纹触摸键出现裂纹的情况。 经过多次测试,他们发现即使手机没有损坏,经过一些处理,指纹锁还是可以破解的,即使是用一片橘子皮也能通过验证。
视频由央视新闻澎湃新闻记者陆鸣、视频编辑张武伟整理
指纹
可以破解手机指纹锁
是不是因为手机摔坏了,导致指纹验证误判? 但是,使用一片橘子皮可以通过指纹验证解锁开机。 是不是指纹验证系统存在一定的安全漏洞?
记者联系了这条信息的发布者,在实验室里,技术人员演示了破解过程。
技术员:我先用这个手机录个指纹,我左手的大拇指已经录了。 现在你可以看到里面只有一根手指(指纹记录),只有我的左手大拇指才能开锁。 试试另一个人。
记者:这个我解决不了。
经过一番处理,之前没有录入指纹的记者成功解锁了手机。 随后,技术人员对市面上的一些主流手机一一进行了测试。 记者在没有提前输入指纹的情况下,成功将这些手机一台一台解锁开机。
龙眼、橘子皮、纸代替指纹
可以成功支付转账
除了指纹开机,使用指纹验证的支付转账也是目前很多人经常使用的应用。 记者拿出手机,打开指纹支付功能。
随后,技术人员对记者的手机进行了一些操作。 除了记者本人可以用指纹转账外,还可以用桂圆、橘子皮、甚至餐巾纸等物品代替指纹进行验证。
关键在于指纹触摸键上的图案
技术人员表示,他们根据网络视频中反映的手机指纹触控按键出现裂纹的蛛丝马迹,在实验室模拟出裂纹图案,并进行了多次实验,发现破解指纹验证的关键在于在指纹触摸键上的图案中。
于是技术人员取一小段胶带或市面上流行的指纹贴纸,用导电笔在背面涂抹形成图案,贴在手机指纹验证部分。 只要主人的指纹接触到胶带或指纹贴纸,成功解锁并多次开机后,其他人就可以随意开机了。
技术员李养元:裂纹本身会在sensor上形成一些图案,而粘贴的薄膜(不干胶或指纹贴),薄膜上的导电介质会为sensor形成一定的图案,因为这个图案是在手指的前面. 它将取代指纹。 这样,最终的软件系统在接收到的时候就已经有了这些图案组件的图片,它就接受了这张图片,同时也认证了一张图片,所以就pass了。
技术人员认为,指纹传感器接收到的信息包括指纹上的导电涂层,并不完全是主人手指的指纹。 在进行指纹比对时,只要部分信息相同,即可通过验证。 因此,只要经过处理,其他人的指纹也可以得到验证。
清华大学自动化系副教授冯建江:指纹识别技术早期用于身份证、考勤、公安刑侦等。 其原理是看手指上的一些细节特征,但这种技术现在在手机上并不常见。 主要原因是手机的传感器面积很小,信息量很少。 因此,业界开始采用一种新的解决方案,即利用模式本身。
应用指纹贴纸
多领域产品成功解锁
如今,指纹验证不仅应用在手机上,还应用在某些类型的笔记本电脑上,甚至防盗门上的电子锁上。 那么在这些领域,是否存在指纹验证这样的漏洞呢?
在一台笔记本电脑上,技术人员用导电笔在指纹贴纸背面涂抹,然后贴在触摸按键上进行指纹验证。 随后,电脑主人设置了指纹启动电脑,并输入了自己的指纹。 接下来,其他人打开电脑,尝试了几次指纹后,也都通过了验证,开机了。
随后,技术人员对某门锁进行了检测,也发现了类似的安全隐患。
专家:
指纹触摸键未损坏或贴有指纹贴纸
不要太担心
专家建议,虽然该漏洞涉及不同领域的不同产品,但如果你的指纹触摸键没有损坏或者有指纹贴纸,是可以正常使用的,不用太担心。 同时,专家也提醒大家,如果比较在意安全性,尽量不要使用指纹贴。 另外,在使用指纹验证之前,最好检查触摸按键上是否有其他异物或图案。
清华大学自动化系副教授冯建江:一定要检查一下,看看这个是不是真的陷阱,一定要把薄膜撕掉。 如果手机不小心摔坏了,这时候有一个简单的办法,那就是可以试试其他手指,看能否解锁成功。 如果能成功解锁,说明存在漏洞。 据了解,工信部、质检总局等相关部门已介入调查,记者将持续关注。
专家:
解锁橘皮需要主人的配合
不太实用
对于网上发布的橘子皮解锁手机,信息安全方面表示:
网上的破解需要机主配合才能实现,实际可操作性低。
如果车主不配合,实际上是无法获取车主的指纹,无法实现橘皮或任何指纹解锁。
据了解,目前手机上普遍采用的指纹识别技术是利用传感器采集指纹的图像信息。 这种方法最大的漏洞在于部分指纹厂商采用的是图像算法技术路线,因此没有必要完全采集指纹的所有生物特征。 因此,只要传感器采集到的指纹图像与手机本地存储的指纹图像部分一致,就可以解锁手机。
有关专家表示:
“胶带+导电液+橘子皮”解锁手机的原理实际上是在原有信息的基础上人为插入部分错误信息,即机主(A)的正确指纹信息加上错误的信息组成了导电介质(B),从而形成了新的指纹图像(A+B)。
经过这样的“对换”,任何人要解锁指纹的手指都会出现插入错误的图像(B),而手机插入的图像与内存信息一致,就会解锁。
如果不用胶带直接将导电介质贴在指纹按键上,是否也能达到同样的解锁效果?
专家表示,理论上是可以的,但如果将导电介质直接涂在按键上,更容易被划伤,影响实际解锁效果。
专家表示,这种指纹识别漏洞以前并不存在,但越来越多的手机采用指纹识别,部分厂商采取了错误的技术路线,为了追求解锁的便捷性,主动降低了安全性. 性,使风险凸显。 要解决这个问题,就需要改进指纹识别的技术实现。 图像识别是最大的漏洞。 目前,业内还有其他集安全与便捷为一体的指纹技术路线。