雷锋网按:本文作者李扬渊,迈瑞微电子创始人。
指纹识别安全吗?最近有媒体披露了Computex(台北电脑展)上触控及指纹识别国际大佬 A 公司和中国大佬 B 公司科技间的一场撕逼事件。
台北电脑展上,A 公司展示了“只用5分钟,我们就能伪造你的指纹,解锁你的手机”,拿华为手机开刀,疑似剑指 B 公司的指纹识别芯片。B 公司工作人员控诉 A 公司因竞争失利就搞技术秀故意黑 B 公司。B 公司工作人员还强调,A 公司破解的是 B 公司上一代产品,更安全的“活体指纹检测技术”基本不能破解。
两个大佬多年怼来怼去的口水仗先放一边,只评价态度的话,恐怕 B 公司工作人员的说法才算得上气急败坏。 A 公司做一场技术秀本来就符合科技展的定位,B 公司却因为竞争对手的技术秀疑似剑指自家产品,就控诉“故意黑”,未免太小题大作。至于用来挡抢的“活体指纹检测技术”,其实早就被淘宝假指纹膜卖家破解。
早在今年3月,有网友上传了破解“活体”指纹识别的视频(http://v.youku.com/v_show/id_XMjUwNTg5MDgxMg==.html)。
在视频中,某品牌手机搭载的 B 公司“活体指纹”遭“隐形指纹膜破解”:
技术原理
其实所谓“破解”并不神秘,只是基于技术本身的漏洞而已。B 公司展示的原理示意图指出,用LED发光进入手指,在指内漫射并从指纹出射由PD检测,结合以电容式指纹图像采集。只是简单的多传感组合而已。无独有偶,电容指纹传感器界的老大Authentec在2012年就获得了该“活体指纹识别”技术的专利授权,专利号US8180120B2。
因Authentec被苹果公司收购,Authentec的专利技术也归苹果公司所有,可是苹果一直没有用这个“活体识别”,为什么呢?
首先,假指纹五花八门。不妨来看看微软公司在二十年前发布的假指纹材料目录:
B 公司的“活体指纹检测技术”能防住多少种呢?不幸的是,只有一种不属于假指纹目录的东西:
上图左边示意了 B 公司使用的黑色假指纹,右边则是真正的假指纹膜。是否 B 公司的“活体指纹检测技术”只能检测其“独创”的假指纹呢?
不妨来制作一次假指纹,并论证和测试一下 B 公司“活体指纹检测技术”。首先准备一瓶最普通的材料,液体胶水。
液体胶水的成分是胶质、水、电解质。水提供流动性,使胶水可以充满表面缝隙;胶质提供固体支架;电解质促进水和胶质相互分散。用作假指纹时,水使胶水易于倒膜,胶质提供透明固体支架,电解质则提供导电性。用液体胶制作的指纹膜随着其含水量不同能体现从湿皮肤到干皮肤的过渡,在电容式指纹传感器行业一直被用于制作仿真指纹,用于测试传感器对干湿指纹的适应性。
步骤1、先融化蜡用手指按压倒模:
步骤2、把胶水倒入蜡模,待其半固化取下:
何一个能看懂 B 公司“活体指纹检测技术”原理的人都可以预料到:第一、电容对该导电薄膜成像,图像质量甚至比真指纹清晰;第二、红外光可以穿透该指纹膜到达真指纹,从真指纹出射的光线也可以穿过该指纹膜到达检测器。也就是说,B 公司的“活体指纹检测技术”可以百分百被办公液体胶水破解掉。果然“得力办公液体胶,破解活体指纹也得力”。而这只是20年前就遍为人知的假指纹目录中的一项而已。
那么,这是否意味着指纹识别不靠谱呢?的确,在一定的应用场景下是这样的。比如上海指付通曾经推出的用手机号和指纹进行支付的模式,支付宝也曾推出过线下指纹支付项目,都消失无迹。在这种使用第三方指纹采集器的线下模式中,第三人可以使用假指纹在千里之外盗用身份窃取金钱,根本防不慎防。但在手机应用中,值得关心的是指纹识别对手机的整体信息安全有没有提升,而不是指纹识别自身的绝对能力有多强。苹果公司一句话讲得好,“比6位数Pin码强”。毕竟此应用场景下单一窃取指纹和单一窃取手机都无法进入手机系统,避免了进一步的损失发生,已经实现了对手机的安全增值。在手机上搞活体指纹纯粹是个伪需求,正牌从业者根本不会浪费时间做无用功,因为廉价的“活体指纹检测”方案的破解成本一般远远低于方案成本,只有成本较高的技术组合才有机会达到较高的破解成本。而破解成本是安全技术安全程度的唯一度量标准。
看看破解 B 公司所谓“活体指纹检测技术”成本如何:
模具蜡,零售价1元rmb;
得力液体胶一瓶,零售价0.8元rmb;
可制作破解 B 公司“活体指纹检测技术”的假指纹膜200只,平均每只0.009rmb。
造假5分钟”,“花费1分钱”,“破解一辈子”,才是 B 公司“活体指纹检测技术”的真正效果。
正因为在智能手机领域既是伪需求又没卵用,连炒作价值都没有,B公司在手机市场遭遇了滑铁卢,浪费了不少宣传费。但据知情人士举报,B公司把魔爪伸向了涉及公众安全的门锁行业,又要全球“首发”活体指纹检测技术,推出“活体指纹智能门锁”。
手机行业对于指纹识别技术是比较陌生的,但在安防行业应用已久,“活体”在安防行业也不是一个新概念,市场语言里,活体就是电容,电容就是活体。活体这个称谓指相对于只需要打印指纹就能欺骗的光学指纹传感器而言,总是稍稍好一点,并不强调能鉴定出各种假指纹。B公司包装“活体指纹检测技术”,以“活体指纹检测技术”在安防产品的“首发”为噱头,进行包装炒作,博取关注,真是干(san)得(xin)漂(bing)亮(kuang)。在当前资本浮华的社会环境下,不沉心做研发,不细心做构思,专心包装炒作,这种公司的产品如何保证用户的安全?在明知被一分钱破解的情况下,这无异于知(sha)假(ren)售(fang)假(huo)。可惜的是,安防行业对“活体”这个词汇并不陌生,毕竟指纹识别在安防领域是核心技术,这门技术也正是由安防市场孕育,才延伸到手机市场的。
指纹是重要的隐私信息,用户千万不可因相信如此荒唐的“假技术”而放松了防止指纹信息泄露的意识,否则后患无穷。
有兴趣的读者可以查看我的往期文章