原標題:支付寶微信關閉三星支付功能 業(yè)內(nèi)專家:一周內(nèi)指紋漏洞難解
來源:科創(chuàng)板日報
《科創(chuàng)板日報》(上海,記者 戚夜云)訊,最近國外消費者一次意外發(fā)現(xiàn),再次將三星手機送上了輿論熱搜榜。
英國夫婦發(fā)現(xiàn)三星Galaxy S10手機指紋識別存在問題,在給手機裝上全包硅膠殼后(包括正面),錄入指紋,意外發(fā)現(xiàn)任何人都能解鎖手機,這一情況得到了國內(nèi)外網(wǎng)友大量實驗證實,不僅指紋,連指關節(jié)和肘關節(jié)都能進行解鎖。
更多的三星手機用戶嘗試發(fā)現(xiàn),拋開英國夫婦帶有硅膠套錄入指紋的先決條件,僅在解鎖時放置硅膠套殼,Galaxy S10和 Galaxy Note 10指紋識別通過率較高,非錄入指紋可以正常解鎖。
隨后,三星公司發(fā)布官方公告,承認其Galaxy S10和 Galaxy Note 10兩款手機和Tab S6平板指紋識別存在漏洞。此公告引起全球多家銀行以及第三方支付公司警惕,微信支付、支付寶已經(jīng)關閉相關功能。
微信、支付寶關閉指紋支付服務
超聲波指紋影響金融安全,涉事機型又是三星S10和Note10旗艦機型,三星官方公告一出,引起了多方多方重視。
微信支付方面表示,10月21日下午17點,微信團隊收到三星方面通知,S10和nNOTE 10機型的指紋功能存在漏洞。為避免支付安全隱患,微信支付在21日關閉了上述機型的指紋功能。
支付寶也同步關閉三星上述機型支付功能。
中國銀行手機APP近日推送通知《關于臨時關閉三星部分手機型號手機銀行指紋服務的公告》。為保障用戶登錄安全,中國銀行手機銀行APP已暫時關閉Galaxy S10和 Galaxy Note 10兩款手機的指紋登錄功能。其他品牌型號手機、平板指紋登錄不受影響。
不僅是國內(nèi)市場,三星英國銀行NatWest和Nationwide Building Society應用已經(jīng)從三星App市場下架,英國國家建筑協(xié)會也刪除問題機型的指紋登錄選項,包括韓國本土的銀行也停用相關指紋功能,直到三星解決指紋安全問題為止。
三星表示,最快下周更新補丁。
罪魁禍首是“超聲波”原理性缺陷
全面屏大肆滲透手機設計之后,屏幕指紋成為全面屏手機重要技術功能之一。
今年年初,三星Galaxy S10系列正式發(fā)布,其核心賣點,為聯(lián)合高通首發(fā)第三代超聲波屏幕指紋識別技術,號稱對比光學指紋具有更安全(采集3D圖像)、抗水抗污漬也更快速。今年8月,三星Note 10 系列發(fā)布,生物識別延續(xù)了超聲波屏幕識別技術。
上海圖正科技公司在指紋識別領域深耕多年,圖正CTO趙旭接受《科創(chuàng)板日報》記者采訪時表示,三星兩款新機之所以被破解,主要原因是超聲波導致算法安全上的漏洞。
“超聲波是聲阻抗成像,跟硅膠套透不透明沒有關系,就像B超一樣,通過聲波介質(zhì)表面反射信號形成指紋聲圖像。但由于指紋圖像根據(jù)按壓的力度、手指的干濕度等情況不同,會導致按壓時圖像有所差異,所以全圖像算法的一大特點是擁有自學習功能,也就是說指紋芯片要不斷學習新的特質(zhì)、更新圖像以保證解鎖成功率?!?/p>
“當硅膠套放置上去解鎖后,指紋識別過程中,硅膠套內(nèi)部看不見的結(jié)構組成,形成了聲圖像,當成手指的新變化學習進去,并更新到指紋聲圖像中?!薄澳吧讣y解鎖時,異物紋始終存在,算法比對到異物紋與更新過的含有異物紋的指紋聲圖像一致,算法判定解鎖通過?!?/p>
趙旭以及多名業(yè)內(nèi)人士表示,這是算法上的漏洞,而非硬件漏洞,可以通過后續(xù)軟件版本更新解決?!安贿^后續(xù)算法更新后,屏幕指紋識別性能會受到一定影響,如解鎖成功率某種程度上會降低。”
一周內(nèi)很難解決
“這一次三星爆發(fā)的問題,跟當年電容貼膜原理性漏洞幾乎一樣,唯一的區(qū)別是物理量不同?!蓖瑯又讣y芯片領域沉淀多年的邁瑞微CEO李揚淵接受《科創(chuàng)板日報》記者采訪時說。
2017年末,也爆發(fā)一次指紋芯片安全危機,一塊橘子皮就能解鎖當下幾乎所有主流手機,大面積引起用戶恐慌。當時市場上主流手機標配home鍵解鎖,指紋識別多采用匯頂科技以及FPC兩家整體解決方案。因home鍵范圍有限,手機搭載的指紋芯片尺寸較小,業(yè)內(nèi)常用的指紋識別解決方案,為全圖像比對算法,通過電容形成指紋圖像,用戶解鎖時圖像與錄入圖像比對,重合度高即判定通過。
“只要識別出圖像一致的部分即可通過,而不會去分辨不一樣部分是否為人為干擾圖像。”李揚淵認為,全圖像算法漏洞是“只識不別”。當年事件爆發(fā)后,國家質(zhì)檢總局曾有過介入。“當年問題是否成功解決尚存疑問,沒想到相同的缺陷,還會再爆發(fā)一次危機?!?/p>
對于三星方面表示一周之內(nèi)能解決的說明,李揚淵并不認同,這件事看起來并不復雜,但是解決起來十分棘手。“三星手機用的是高通算法,高通在屏下指紋算法上沒有過多的經(jīng)驗積累。此次漏洞修復需要轉(zhuǎn)換算法路線,一周的時間根本不夠,也不符合開發(fā)周期?!崩顡P淵最后說。