兩大原則攻其軟肋 指紋識別安全成最大隱患

蘋果這家公司向來是扮演手機潮流引領者的角色，2012 年，蘋果以3.56億美元收購了AuthenTec，這家公司來頭不小，可算是當時按壓式指紋識別做得最好的公司了，蘋果對其收購，當然是有理由的，2013年9月20日，iPhone 5s首發，這款手機跟蘋果之前手機最大的不同就是其內置了指紋識別功能，iPhone 5s也因此被媒體評為“本年度最具創新力的十大設備”，自此，指紋識別技術紛紛被其他手機品牌加諸到自己新研發的手機上，但蘋果玩了個陰招，那就是別的品牌若想要應用此技術則必須向蘋果支付專利費，這是其他手機品牌不願意看到的，縱然是有苦也無處訴說了，因此蘋果相當於壟斷了該技術，該技術的應用也僅蘋果一家，別無分店。盡管蘋果這種過河拆橋的做法有點不厚道，但你有你的過河橋，我有我的爬牆梯，那麼不妨來看看除蘋果外的其他主流手機品牌又采用了哪些指紋識別技術呢?

各大指紋識別技術比拼

作為手機巨頭的三星當然不會在指紋識別上讓蘋果獨美，在2014年2月推出的旗艦機型s5上，三星亦首次引入了指紋識別功能，s5采用了Validity的解決方案，該方案是基於電容和無線射頻(RF)的半導體傳感器，這點跟蘋果的方案一樣，與蘋果按壓式識別不同的是，s5的識別方式是滑動式，其缺點是在進行指紋識別時手指必須得安照固定的方向滑動才能進行識別，這跟蘋果可實現360°無死角識別的方式是有頗大差距的，其實三星的這套解決方案原本是用在筆記本的指紋識別應用上的，卻被三星用在了手機上，很顯然，三星有點病急亂投醫的味道了，好在三星在新近推出的旗艦機型上改進了指紋識別方案，其體驗也非從前可比了。

三星S5采用Validity滑動式，指紋模塊置於Home鍵

下表是蘋果指紋識別方案與三星指紋識別方案的比較。

華為，作為國產手機巨頭，在其Mate 7手機上也加入了指紋識別功能，其識別方式跟蘋果一樣，也是按壓式的，為華為提供解決方案的是一家瑞典的公司，名叫Fingerprint Cards ab(簡稱FPC)。該公司技術實力雄厚，其提供的指紋解決方案同樣支持 360°識別，據稱其精度、時間、識別面積等都比iPhone 5S的體驗要好，遺憾的是該套指紋識別模塊被安在了手機背面。

華為Mate7采用FPC按壓式，置於手機後蓋方案

作為國產手機的魅族，其在手機設計上的實力不容置疑，同樣，魅族也在自己的旗艦機型mx4 pro上加入了指紋識別功能，為魅族提供指紋識別芯片解決方案的是一家來自深圳的本土企業匯頂科技，Validity 和Fingerprint Cards ab沒有做到的事情，匯頂科技做到了，跟蘋果一樣，魅族mx4 pro也將指紋模塊集成在了機身正面的HOME鍵上，這樣做的好處顯而易見，其一是不需要培養用戶的使用習慣;其二是不需要在手機上設計新的空間來放置指紋識別功能。匯頂科技的這套解決方案在解鎖速度與識別成功率上與蘋果的方案差別不大，實際的使用體驗亦基本相當，國產品牌在指紋識別領域的研發實力不容小視。

魅族mx4 pro的指紋識別模塊采用匯頂科技的解決方案

此外像HTC、酷派、VIVO等品牌亦推出了各自加載指紋識別功能的手機，指紋識別技術俨然已經成為了手機領域內的熱門技術，隨著三大巨頭蘋果、谷歌及三星紛紛發力於移動支付領域，而指紋識別技術在移動支付領域天生具備的便利性與安全性使得其亦越來越受到廠商的青睐，相信這也會迅速催熟整套指紋識別應用產業鏈，而目前應用於手機領域的指紋識別技術廠商主要有AuthenTec、Synaptics新思(Validity)、 Fingerprint Cards AB(FPC)、CrucialTec、IDEX以及Goodix匯頂科技等，這些科技公司的技術實力毋容置疑，但這是不是就意味著指紋識別技術就無懈可擊了呢?當然不是!

要確保指紋識別安全 首先要做到軟件與硬件“分離”

手機指紋識別技術最大的隱患在於安全性，指紋本身是無法被破解的，但是指紋必須轉化為信息才能被應用，而指紋信息就很可能被非法獲取，對此，前Google 安全大師，安全領域的專家Shuman Ghosemajumder在接受采訪時表示，建立指紋的雲端數據存儲中心是極端危險的，但無疑蘋果在這方面會得到世界級安全專家的建議。

那麼又該如何解決指紋識別技術的安全性問題呢?Shuman Ghosemajumder在接受采訪時同樣回答了這個問題，他認為要想很好的解決指紋識別的安全性問題，起碼得遵循2點原則：第一，指紋掃描必須只基於硬件，絕不能通過軟件激活，或是將指紋信息傳送給軟件。如果該裝置能夠被軟件激活，則無法避免被惡意代碼攻擊的風險。而基於硬件的實現僅會通知軟件“指紋驗證通過”或“指紋驗證失敗”，但不會與軟件分享任何指紋相關的數據與信息;第二，在本地存儲的指紋信息，其存儲位置必須非常安全，這個位置必須禁止軟件的訪問，否則黑客會通過破解軟件的方式來獲取指紋信息。

顯然，要確保指紋識別功能的安全性，首先要做到的便是將軟件與硬件各行其是，指紋信息應該只存在於硬件中，軟件絕不能訪問指紋信息，因為軟件一旦可以訪問指紋信息的話，那麼黑客可輕易地通過破解軟件從而實現對指紋信息的訪問，硬件與軟件間的交流也僅限於將指紋信息對比後的結果，即錄入的指紋信息是否與儲存的指紋信息一致這個結果進行傳遞，而非對指紋信息本身進行傳遞，同樣道理我們知道，倘若蘋果要建立指紋的雲端儲存中心，那麼一旦雲儲存服務器被攻克(這對黑客來說並不困難)，那麼儲存於其上的用戶指紋信息也將洩露，其結果將是災難性的，因為你沒法改變您的指紋信息，這樣的結果將會伴隨你一生。

因此，Shuman Ghosemajumder提到的2點原則應該成為所有指紋識別手機廠商都應該遵循的基本原則，此外，對系統軟件本身的不斷改進與完善亦不可忽視，限於手機生產商本身研發實力的參差不齊，往往容易導致指紋識別手機出現嚴重的安全漏洞，以魅族mx4 pro為例，該手機的指紋識別體驗相當不錯，從完成對指紋的識別到點亮屏幕可謂一氣呵成，但該機有一個致命的安全漏洞，那就是即使已開啟了指紋解鎖功能，但只要進入“工程模式”，就能輕易清除指紋解鎖，實現對手機全部功能的訪問，從而讓指紋識別鎖形同虛設，這是一個非常嚴重的bug，由此亦凸顯出指紋識別功能在手機安全性應用上的形勢不容樂觀。

毫無疑問，越來越多的手機將會加入指紋識別功能，指紋識別功能也把人們從繁瑣的密碼記憶中解脫出來，在給人們生活帶來便利的同時，筆者還是不禁要問一句：你所用手機的指紋識別功能到底安全可靠嗎?(責編：王瓊芳)

本文為華強電子網原創，版權所有，轉載需注明出處