给安全加把锁 正确认识指纹识别功能

2016-03-23 10:07

随着中兴威武3、酷派大神Note3等千元手机纷纷提供指纹识别功能后,这种昔日“高大上”的安全技术正在悄然普及开来。如果你想更好地保护数据安全,了解指纹识别功能自然就是必备的功课。

00

指纹识别的工作原理

目前智能手机领域所用的指纹传感器供应商主要以AuthenTec、Synaptics、Fingerprint Cards AB(FPC)和Goodix为主,而识别方式也逐渐从摩擦(如三星S5)、滑动(如三星Note4)过渡到了轻触(如华为Mate7)和按压式(如魅族MX5)。相对来说,将指纹识别与Home键结合设计在手机正面的手机大都采用了按压式传感器,而指纹后置的手机则更青睐轻触式。

细心的用户可能已经发现了,很多手机指纹传感器四种会被一圈金属环包裹(图1),这圈金属难道是用来装饰的吗?答案是否定的,传感器周围的金属环主要是用来监测手指、激活传感器和改善信噪比。当你想用指纹功能时,手指需要碰到金属环才能被顺利识别。

01

随着技术的革新,这圈金属环也有望被淘汰。以华为荣耀7为例,它采用了FPC最新的指纹传感器,用于检测指纹的高频信号不再通过金属环发射,因此用户在指纹解锁时不再被金属环束缚,更加灵活。

指纹识别的准确性、速度等参数,主要取决于指纹传感器型号、表面材质、分辨率、供电电压等参数(图2),和软件层面的优化关系不大。因此,虽然千元手机也用上了指纹识别,但受成本的制约,其使用体验依旧容易与高端手机拉开差距。

02

指纹功能源于二次开发

指纹识别可以用于解锁屏幕,这是地球人都知道的功能。除了解锁之外的其他安全功能,就需要手机厂商针对指纹识别器进行二次开发和优化了。

以支付宝为例,对大多数Android手机在“设置→账户安全→指纹”选项中即可开启指纹支付功能(图3)。但是,OPPO R7 Plus虽然也配备了指纹识别器,但在支付宝里却找不到指纹选项。再比如,微信在V6.2或更高版本中加入了钱包指纹支付功能(图4),但在Android手机中却仅有华为Mate7和荣耀7等极少数产品才能看到这一选项,而其他品牌的手机则会屏蔽该功能。

03

图3

04

图4

在其他功能上,指纹识别还可用来进行程序/文件加密或是更高级的手势动作。以魅族MX5为例,在指纹设置界面就可以给程序文档加密(图5),并赋予Flyme账号支付的权限;华为荣耀7可将其用作触控板,比如轻轻下滑即可下拉通知栏,连续轻触两下可以清除所有通知(图6);还有很多手机可以用不同手指的指纹信息绑定指定的APP程序,比如我们可以自定义使用食指进入微信,或者无名指进入QQ,一切都可根据你的习惯而定。

05

图5

06

图6

但是,上述功能全部取决于手机厂商对指纹识别器的深度挖掘,并不能通过第三方APP实现。换句话说,如果你的手机没提供指纹手势、指纹APP加密,那你也就不要强求了。

指纹识别真的无法破解吗

前文我们提到,Android手机在忘记解锁密码时,可以借助PC强行破解。而破解原理其实很简单,Android系统默认会将密码保存在password.key配置文件中,在PC端使用adb命令即可强行删除手机中的password.key文件,从而将加密化解于无形。因此,我们才建议大家不要轻易开启USB调试模式,禁止以adb的方式连接Android手机。

指纹加密最大的优势,就是可以将加密的指纹信息保存在eMMC的RPMB安全存储区域,以RPMB与CPU绑定进行授权加密存储,从而隔离了所有SoC硬件和软件资源。指纹信息无法上传,也无法被其他程序读取,哪怕是手机厂商也无法提取你的指纹记录,属于硬件级别的加密方案。

那么,指纹加密真的就可保证用户数据万无一失了吗?至少在Android手机领域还做不到。几乎所有配备指纹识别功能的Android手机,只要在开机时进入Recovery(不同品牌进入Recovery的方法不一,比如有按音量-的,也有需同时按Home和音量-的),选择双Wipe(清空用户数据和缓存,也就是恢复出厂设置)(图7),此时你录入的指纹加密信息也会同时被清空。

07

好消息是,双Wipe可以删除你所安装的所有第三方APP,以及微信QQ聊天信息、APP账号和各种支付/登录密码,不必担心移动资金和账号信息的安全。坏消息是,双Wipe一般并不会格式化存储卡,意味着你保存在手机里的图片、视频等文件并不会随双Wipe而消失。如果你保存有比较私密的内容,那就危险了。

因此,所谓的硬件级加密还需要系统层面的支持,而Android在这方面有着天然的缺陷。还好,已经有厂商认识到了这一问题,并加以改进优化。以三星S6为例,在“设置→锁定屏幕与安全→查找我的手机”中打开“重新激活锁定”(图8),再结合指纹加密基本就可做到最大程度的安全。即使你的三星S6丢失,别人通过双Wipe清空了指纹信息,在恢复出厂设置重新开机后,还需输入你的三星账户进行联网激活,否则就无法进入系统,自然也就无法访问里面的图片和文档等内容了。

08

小提示

如果你的手机支持指纹支付功能,那就千万不要Root手机。因为Root之后会影响指纹安全性,有些手机会出现指纹支付选项被屏蔽,而有些手机在指纹支付的过程中会弹出验证报错提示(图9)。

09

希望今后Android厂商可以在系统层面加入更多针对指纹的底层优化吧。比如,进入Recovery或强制刷机前都需要进行一次指纹验证,彻底封死破解指纹加密的渠道。

404 Not Found

404 Not Found

nginx