央广网北京1月31日消息 据经济之声《天天315》报道,最近,“一块橘子皮就能秒开你的手机指纹锁,还能转账付款”的视频在网络上热传。视频显示,需指纹验证的手机,通过使用一些简单的处理手段,任何人的指纹都可以解锁,甚至一块橘子皮。
除了这个视频,还有消费者爆料,手机摔到地上后,指纹解锁功能失效,任何人都能通过指纹解锁这部手机。根据央视的报道,来自安徽的小许手机摔到地上,导致指纹触摸键出现了裂纹。令他诧异的是,之后其他人居然都可以用指纹解锁他的手机。不仅如此,小许手机里的一些需要指纹识别才能使用的支付应用,陌生的指纹同样可以通过验证并使用。
小许介绍道:“我的手机不小心摔到地上了,然后我看到上面有裂痕,我当时以为指纹功能可能用不了了,然后我用了一下,发现还是可以一样用,支付宝指纹支付都可以。第二天,我在班上玩手机,同学摸了下我的手机就解锁了,当时我就有点懵,因为他第一次用我手机,为什么他能解锁?后来我发现所有人都能解锁,手机支付什么都可以。”
随后,小许立即与手机厂商进行了联系,商家为小许屏蔽了指纹功能。与此同时,网上一篇《一块橘子皮就能秒开你的手机指纹锁 还能转账付款》的文章及视频引起了广泛的关注。里面提到,对于需要指纹验证的手机,通过使用一些简单的处理手段,任何人的指纹都可以解锁,甚至一块橘子皮都行。
苏州一家科技公司的技术人员看到网上视频,了解到此事后,在实验室模拟出手机指纹触摸键裂纹的图案,经过多次试验,他们发现即使手机在没有任何损坏的情况下,经过一些处理后,仍然可以破解指纹锁,哪怕是用一块橘子皮也可以通过验证。
技术人员说,他们根据网上视频反映的手机指纹触摸键裂纹这个线索,通过在实验室里模拟裂纹图案,并进行了多次试验,发现破解指纹验证的关键在于指纹触摸键上的图案。“裂痕本身会在传感器上形成一定的图案,而贴上膜以后,膜上的导电介质会给传感器形成一定的图案,这个图案是挡在手指前面的,它就会替代指纹,这样一来,软件系统收到的就是已经有了这些图案成分的图,认的也是这个图,所以它也会过。”
不过,技术人员强调,想用橘子皮解开指纹锁需要特定的前提。首先需要一小块儿胶布或市面上流行的指纹贴,背面用导电笔涂抹形成图案,贴到手机指纹验证的部位。然后还需要机主的指纹触碰到这块胶布或者指纹贴,成功解锁开机几次后,别人才可以随意开机。
技术人员解释,指纹传感器接收到的信息包含指纹贴上的导电涂层,并不完全是机主手指的指纹。而在进行指纹比对时,只要部分信息相同就能通过验证。因此需要经过处理,其他人的指纹才能够验证通过。
技术人员说:“早期的指纹识别技术,像身份证、考勤以及公安刑侦破案使用的原理是看手指上的一些细节特征点,但这个技术不是手机所普遍采用的,主要原因是手机传感器的面积特别小,信息含的少,所以行业界就采用了一个新的方案,也就是利用图案本身。”
即使需要很多特定前提,但指纹解锁功能的技术漏洞不容忽视。如今,指纹验证不仅在手机上使用,在一些型号的笔记本电脑,甚至防盗门的电子锁上,都采用了指纹验证的方式。在这些领域里,指纹验证也同样存在这样的漏洞。在一款笔记本电脑上,技术人员将指纹贴背面用导电笔进行涂抹,然后贴到指纹验证的触摸键上。随后,机主在这台电脑的系统里设置了指纹开机,并录入自己的指纹。接下来,由其他人打开这台电脑,用指纹试了几次后,同样能通过验证并开机。随后,技术人员又对某款门锁进行了试验,发现了类似的安全隐患。
专家提示,虽然这个漏洞涉及到了不同领域的不同产品,但如果您的指纹触摸键没有受损或贴指纹贴,就可以正常使用,不必过分担心。清华大学自动化系副教授冯建江提醒消费者,如果对于安全性比较在意,尽量不要使用指纹贴。另外在使用指纹验证前最好先检查一下触摸键上是否贴有其它异物或图案。“这肯定要检查一下,要把那个贴膜撕掉,如果手机不小心摔裂了,可以尝试一个简单的办法,就是试一下没有登记过的手指是不是也能解锁成功,如果也能解锁成功,那就说明是有这个漏洞的。”
除了指纹解锁功能,人脸识别、虹膜识别等生物识别系统,也引发了人们对生物识别技术可能潜藏安全风险的关注。奇虎360公司副总裁、新加坡国立大学教授颜水成对此表示,“世界上没有完美的技术,如果在特定的场景下,一项新技术的准确度能够满足要求,错误带来的风险可以承受,那它就是有价值的。”
有观点建议,从安全层面来考虑,最好多种验证方式交叉使用,尤其是对安全要求极高的金融场景。比如,为了防止照片、视频播放、3D头套等假脸攻击,银行刷脸取款都同时进行人脸识别、手机号码或身份证验证、密码验证三层防护。据了解,目前工信部、质检总局等相关部门已介入调查。消费者对此的普遍反映是没有感觉特别恐慌,会注意防范措施。保证安全的前提下,对新技术、新科技保持接受态度。
奇虎360无线电安全研究专家付杰表示,生物识别系统虽有漏洞,但消费者无需因噎废食。
付杰说:“从安全人员的角度来看,其实手机的指纹解锁还是存在一定的安全隐患的,手机指纹解锁的功能的局限性、容错率机制就导致了橘子皮安全性事件的发生。网上的橘子皮解锁的流程其实还是比较复杂的,可行性不是很高,所以用户不必过于惊慌,这个技术还是相对比较成熟的。安全风险这个问题是一直存在的,但我们不能因为那一点安全风险就放弃了整个技术前景,ROT这个概念一旦存在,安全问题肯定会随之而来,这就需要所有安全研究人员的共同努力,把这个漏洞给补上。”
关于这一话题,北京潮阳律师事务所律师胡钢以及北京志霖律师事务所律师赵占领进行了分析与解读。
经济之声:你们对于橘子皮能秒开指纹锁的视频有怎样的看法?
赵占领:“因为在一般情况下,出于安全考虑,手机都会设置密码,但是每次锁屏之后再进去必须要输入密码,这样挺麻烦,所以指纹解锁实际上非常方便。除了手机之外,手机里面有一些应用也有指纹的功能,比如微信支付或者支付宝支付等。因为你需要记住很多密码,很多人都开通了指纹支付的功能,总体上来看,指纹解锁或者指纹支付确实比较便利。指纹解锁并不是绝对安全的,也可能会有漏洞,但是我们也无需恐慌,毕竟首先要别人拿到你的手机,其次需要去找专业人士,通过比较复杂的操作才能解开。那其实不仅指纹解锁就是设置一般的密码,那么手机被盗或者丢失之后,专业人员也可能会通过一些手段也能破解这个密码,所以我们一方面不要对这种事情过于恐慌,那另外一方面我们也需要随着里面所存在的安全问题进行关注。”
胡钢:“这样一个小的实验确实让我们大开眼界,也给我们带来一些思考。传统的密码更加强调的是一种随机性,比如数字、图像等,即这个密码本身是可替换的。现在这种生物识别技术的发展,使得密码和原来有很大不同,无论是虹膜识别,还是指纹识别、声音识别、面部识别等,它们都有一个非常大的特点,即属于消费者的个人信息,具有唯一性,除非做过巨大侵入性的调整手术。这种密码如果用在一个所谓的闭路系统,比如给我一个特定的保险柜,我按了一个指纹锁,那么它在这个小的环境里相对比较安全。但一旦进入一个开放的系统,特别是和互联网连接的系统,其危险性就迅速增大,因为虹膜、指纹、声音等的这种唯一性很容易被数字化的东西所复制,长期上来说就可能存在风险。
我非常同意相关专家所说的‘一种新的技术,如果风险可控就可以继续允许’。但是出现指纹被破解的这种情况,实际是在提示整个手机厂商,必须在提高性价比的同时,考虑安全性,比如对于出现的安全问题,实行保险赔偿制度,这样消费者才能更加安心。其实整个手机或者类似这种敏感终端的厂商都应该主动向消费者提供有选择性的责任保险制度,同时将潜在的风险向消费者充分披露,这样才能更加妥善。”
经济之声:如果有消费者遇到手机指纹被他人解锁,并且造成财产损失,是否可以要求赔偿?
赵占领:“要看消费者的损失是什么,有的是财产损失,比如支付账户、网银账户等的指纹解锁密码被破解后造成的直接财产损失;有的可能是个人信息泄露、隐私被泄露,比如手机的指纹解锁功能被破解,导致手机里一些敏感的个人文件被泄露,这种尽管没有直接的财产损失,但是对消费者个人而言造成的损失也很大。
无论是财产损失还是个人信息被泄露,责任到底由谁来承担?手机厂商是否有责任?关键是看手机厂商有没有过错,任何一种技术都没有绝对的安全,但至少在现有技术条件之下,要看厂商有没有采取相应的技术防范措施,来最大限度地避免安全隐患的出现。另外,要看这种损失跟手机厂商有没有直接的因果关系,比如手机丢失之后被解锁,其中的个人信息隐私遭泄露,这种情况下,如果手机厂商的技术存在安全漏洞,导致消费者造成损失,那么手机厂商可能就需要承担责任。但很多手机厂商会通过用户协议等方式,将这块的责任进行免除,这种‘免除’是否一定能免掉?从法律上来讲可能还是存在问题,因为这种条款是一种格式条款,而这种格式条款单方的免责受《消费者权益保护法》、《合同法》的约束,即不能存在‘霸王条款’,否则这样的条款可能是无效的。
另外,财产损失通常还跟一些具体的应用软件有一定关系,比如一些支付软件的应用,要看这些软件自身是否有相关安全措施,是否尽到了相当安全保障义务,如果没有,那么它也需要向遭受损失的用户承担相应的赔偿责任。”
经济之声:对于新的技术性功能,比如手机指纹识别、人脸识别等功能,也引发了人们对生物识别技术可能潜藏安全风险的关注。消费者在使用相关产品时是否需要更加谨慎?
赵占领:“首先我们对于这些新技术的不断出现,既要持开放态度,同时也需要采取更加谨慎的态度,两者实际上是不矛盾的,因为在这个过程中存在风险,特别是涉及到广大消费者的人身财产或者个人信息安全。
因为目前还不存在绝对安全的技术,比如像人脸识别开始应用于很多领域,它相对于传统的密码、芯片有很多独特优势,但是人脸识别同样也可能会被破解,会被造假。而如何去关注这些风险,在很大程度上,一些技术厂商在其中发挥更大的作用,它们需要不断通过新技术解决新问题。同时一些行业的主管部门需要对新出现的安全问题及时关注,特别是这种新问题出现的时候,可能会导致广大用户的个人信息被泄露。比如今天案例中所提到的工信部、质检总局开始进行关注,说明不仅是技术厂商、普通消费者,还有监管部门、行业协会和相关企业也要去关注,从而更好地促进新技术、新应用的发展。”
经济之声:使用手机支付功能的用户越来越多。消费者应该如何注意手机支付使用安全,避免自己的财产遭到损失?
胡钢:“现在手机真是太重要了,占据了我们生活的很多方面。当我们想到手机可能会被盗窃、遗失,或者遭遇跌落、手机进水等某种原因的损害,需要采取哪些应急备份的措施?比如手机被盗,我们应该及时补办手机的SIM卡,并将各种绑定服务止付或者修改,而有关的密码需要记录在纸上,最好能够放在两个以上的不同地方,这样可能更安全一些,这种应急防范的意识和概念必须要有。同时,一类信息即隐私性的信息、高度隐私性的信息,类似于非常个人化的信息,尽可能不要在手机里留存。对于涉及到财务敏感的信息,尽可能让网上直接支付的账户总额和收入相匹配,这样更容易控制损失。总体来说,金融消费者权益保护的力度应该还是有巨大成长空间的,保护好自己的手机,很多时候就相当于保护好自己的个人和财产安全。”