指纹识别惊现重大漏洞:小米华为OPPO等恐中招(内有实测视频)

手机摔一下,任何人都能解锁我的手机?

最近,微博网友兴兴兴xg碰到一件怪事,他的小米6手机Home键部位摔出一道裂纹后,人人都能解锁他的手机。不仅如此,手机内可以使用指纹识别的众多App,陌生指纹也同样畅通无阻。《IT时报》记者调查发现,这并不是一起个案,背后很可能涉及指纹模组供应商汇顶科技。

有专家分析称汇顶科技指纹模组设计存在缺陷,很可能波及小米、华为、OPPO等大部分主流手机厂商的主力机型,但也有专家认为是手机问题,与指纹芯片无关。

专家:指纹模组厂商汇顶科技可能有设计缺陷     

汇顶回应:属极端情况 软件升级可解决

1

网友惊诧:

指纹识别得“脸盲症”

谁都能刷你的支付宝

兴兴兴xg今年18岁,是一名高三学生。因喜爱数码产品,他平时不仅做着二手手机的生意,同时还将一些手机的个人使用体验剪辑成视频发布在bilibili网站。国庆前后,他花了1650元,买了一部二手的黑色小米6,准备“体验一周以后上视频”。

不曾想到,使用几天后,手机摔到了地上,裂纹贯穿了Home键。一开始,兴兴兴xg并没有发现异样,但第二天,他却意外发现,一位同学直接解锁了他的手机,进一步测试,结果更为惊人,任何一个人,任何一根手指,都能解锁这台Home键出现裂缝的小米6。

更惊人的发现还在后面。兴兴兴xg手机里有很多App都选择了指纹密码,包括支付宝和微信支付。当看到同学的指纹可以直接解锁并支付时,兴兴兴xg意识到了问题的重要性。这意味着,他的手机如同一个上了假锁的门,里面的人以为门是有锁的,但实际上锁是坏的,任何一把钥匙都能打开。

兴兴兴xg检测其出现裂缝的小米6,任何一根手指都能都能解锁

兴兴兴xg第一时间在微博上@了小米相关官方账号,很快得到了回应。一位自称是小米售后的工作人员联系了兴兴兴xg,工作人员解释出现该问题的原因是因为指纹模组物理损坏导致的识别异常,他们将通过在软件上做防认假的优化来杜绝这一问题。当兴兴兴xg强调这一漏洞带来的安全问题时,对方表示,因涉及安全,该问题已经上升到最高级别

10月19日,小米修复了该问题,MIUI最新开发版在更新说明中表示,修复了因指纹模块组损坏引起的指纹识别错误问题。

小米更新版本修复漏洞

2

记者调查:

指纹模组厂商均为汇顶

另一位小米6用户也向记者反映了类似情况,他有两部小米6手机,一部是线下门店购买的首批小米6,另外一部是朋友从小米商城购买后赠送于他。线下门店购买的小米6屏幕指纹圈完好,但出现过两三次任何指纹都能解锁的情况。朋友赠送的小米摔裂了屏,Home键也出现了裂纹,同样,任何人都能解锁。

这真的是一起因意外坠落裂屏引发的个案吗?《IT时报》记者调查后获悉,这三部手机在运行相关指令后,指纹供应商均显示为“Goodix”,也就是汇顶科技。通过汇顶科技官网可查,汇顶科技是小米6采用的IFS指纹识别芯片主要供应商。除了小米6用户外,华为P10、坚果pro用户也都投诉过曾遭遇类似情况,这几款手机背后的指纹芯片供应商里,都有汇顶科技的身影。

三部小米6的指纹供应商均为汇顶科技

汇顶科技成立于2002年,是一家上市公司,大约从2013年开始从事指纹识别相关研发工作。经过几年的发展,汇顶科技已经成为国内最大的指纹芯片供应商,其客户涵盖了主流的手机厂商,包括华为、小米、OPPO、vivo、金立、魅族、锤子等等。

那么,兴兴兴xg遇到的问题,究竟是手机软件漏洞,还是指纹模组问题?小米回复《IT时报》称,造成这一问题主要原因是手机的指纹解锁模组都有自学习功能,以用来应对用户手指因为季节变化导致的变化,或者因脱皮、脏污等等导致无法解锁的情况。因此,当玻璃上有裂纹时,如果用户还继续使用,系统会把这些裂纹当作指纹信息学习,这样持续很多次之后,无论谁的指纹过来,系统都会以为裂纹就是指纹,所以都可以解锁。

小米强调,这跟指纹模组硬件无关,很多品牌的手机都会出现这一情况。

3

汇顶回应:

人为摔坏指纹区

不会出现类似情况

目前,兴兴兴xg的手机进行了软件升级,指纹解锁功能失效。有业内人士分析,应该是升级后的系统设置为一旦发现有裂纹,便禁用指纹解锁功能。

不过,对于消费者来说,更担心的是,采用了汇顶同类芯片的手机是否存在同样漏洞,会不会有人故意在Home键上制造裂纹从而强行破解手机呢?

就此问题,记者向汇顶科技进行求证。汇顶的回应与小米的自学习理论一致。他们认为指纹屏幕被摔坏而指纹传感器仍然工作属于极端情况,可以通过软件升级彻底解决,并不是产品或软件的问题。

“通过实验室测试可以肯定的是:假如A的手机被B拿走,人为摔坏指纹区去解锁A的手机是不可能成功的,指纹解锁的安全性是有保证的。”汇顶如是回应。

4

专家看法不一:

手机厂商、汇顶

均有可能出问题

对于人人皆可解锁手机背后的原因,业内看法不一。

手机联盟秘书长王艳辉表示,Home键裂开的前提下,功能异常可能性比较多,这可能是个案。

“如果玻璃上出现一道裂纹就能匹配正确,那说明该模组的误识率太高了,一般情况下,指纹识别的误识率是1/50000,但随着指纹传感器介质变性、传感器电路老化,误识率更会大大提高。”一位从事指纹识别多年的技术专家张帆(化名)认为,如果确实是因传感器硬件出现缺陷,一般情况下,指纹识别通过率应该是逐步下降,直到原指纹不能使用,而不是人人指纹均可被识别。

全国安防标委会人体生物特征识别技术委员会委员、深圳脉迪科技有限公司CEO徐伟则表示,从已有信息来看,手机厂商的责任比较大,他们没有把安全性问题纳入考量范围。出现此问题的原因,很有可能是因为手机采取的是电容式指纹,比较容易受人体静电影响,出现裂纹后,人体静电会对芯片识别产生干扰从而影响识别结果。

张帆对此解释并不认同,他认为人体静电影响指纹识别的可能性几乎为零,人体静电影响的是功耗,比如会让手机发烫或者死机,但不会影响算法的识别结果。

张帆的判断是,由于软件逻辑正常,所以硬件没有逻辑性损坏,只是指纹传感器的传感功能受到了硬件瑕疵的干扰。他认为导致误识率较高的原因有多种,既有可能因为玻璃等介质问题,也可能因为芯片本身的问题已经到达临界,玻璃裂痕只是最后一根稻草,“还有一种可能,是在硬件出厂检测时品控不严,让很多误识率高的不良品流到终端产品里,以至于对玻璃裂痕这样的问题没有主动识别和禁用。”

据了解,指纹识别的信息流要经过几个过程:从手指到传感器模拟量—数字量—图像—特征—识别,比较容易出现误识别的是在图像这一环节。据记者侧面了解,汇顶的算法软件库使用的是标准的某算法,这是一种计算机视觉的算法,用来侦测与描述影像中的局部性特征,其识别机制是局部图像一致性。“该算法最大优势的是识别速度非常快,不过同时存在天然缺陷,安全性不高。”专业人士表示,因为缺陷、老化而产生局部固定图像的传感器,算法误识率本来就高,玻璃裂痕很可能成为最后一根稻草,造成了百分之百误识别。

虽然这样的缺陷可以通过软硬件综合设计方案规避,但这不仅需要花时间重新架构,还对识别速度产生影响。有些厂商没有做防范设计,可能是当时没有考虑到安全风险。汇顶对此说法进行了否认,并表示:手机厂商选择供应商都有自己的严苛标准,既然那么多厂商选择汇顶,说明汇顶质量是过关的。

(0)

相关推荐