自從手機屏幕指紋出現以來,這種新的設計方案已經越來越成為高大上的代名詞。相對于後置指紋或者下置指紋來說,它既能保證手機有極高的屏占比又能帶來好的使用體驗,确實是現在的首選方案。不過昨天的GeekPwn2018大會上,屏幕指紋方案卻被曝光有非常嚴重的安全漏洞,而且難度低到任何人都能使用。
公布該漏洞的技術團隊在現場演示,隻用一張白卡片就實現了任何手機的指紋解鎖。不過從操作來看還是有一些先決條件的,最直接的一點就是手機必須是機主剛錄過指紋或者用指紋解鎖過。随後将白色卡片貼在指紋區域,用手指按壓,神奇的一幕就出現了,手機竟然識别出機主的指紋并且進入桌面。
盡管有先決條件要求,但實際上操作難度極低,不但漏洞發現者當場破解指紋解鎖,評委也非常簡單的就使用漏洞解開手機,甚至主持人輕易也解開了手機鎖。現場演示僅僅是對屏幕鎖的破解,如果是支付環境,那效果簡直不敢想象。為什麼會這樣呢?根據公布該漏洞的技術團隊表示,這并不是某個手機品牌的問題,而是供應商的鍋。但這麼聽起來,也表示任何屏幕指紋手機都有中招的可能。
其中的道理并不難理解。當我們錄入指紋或者解鎖之後,手機屏幕上會留下指紋殘迹。此時白色卡片或者白紙的作用就是成為一個能夠映襯殘迹的背景。當指紋識别模塊進行指紋檢測的時候,就會檢測到這個殘迹,進而提取關鍵信息進行指紋驗證,自然也就能夠把手機指紋鎖解開了。所以這個漏洞就被命名為“殘迹重用”漏洞。
其實當我們使用任何指紋識别模塊時都會留下使用後的指紋殘迹。但關鍵在于檢測方式——就拿我們常見的下置指紋或者後置指紋來說,它們都是會同時進行生物驗證的,比如電容式指紋模塊會檢測生物電,超聲波指紋模塊會利用聲波反射差檢測指紋是平面還是立體,如果沒有這些保護措施,也會存在殘迹重用漏洞。
但現階段屏幕指紋是基于光學檢測的技術,超聲波太貴沒人用。光學檢測是通過AMOLED屏幕之間的縫隙對指紋進行“拍照”,這本身就是一個把三維環境二維化的過程,這樣的檢測方式自然也就無法進行生物驗證,特定情況下系統無法區分是機主手指按壓還是指紋殘迹,也就很容易騙過指紋識别模塊了。不過技術團隊表示,目前已經和屏幕指紋供應商溝通過,該漏洞已經得以修複。
不管漏洞是否修複,對個人來說保護隐私也不難。如果每次使用完指紋之後能随手在屏幕上抹一下,隻要把屏幕上的指紋殘迹擦掉也就基本上不會出現手機被破解的事情了,這就要養成習慣。其實我們生活中做任何事情都會留下“殘迹”,成為洩露我們隐私的重要方式,保護隐私不能光靠技術,也要依靠好的習慣。
,