手机指纹支付就不会有盗刷风险吗?
时下,移动支付已经非常普及,从扫码付款到银行app转账均可在手机上轻松完成。为了进一步提高便利性,生物识别技术被引入支付过程,几乎完全替代了密码输入,成为时下最受欢迎的认证方式。
就当前来看,常见的生物识别包括指纹、人脸、虹膜、声纹等。今天我们不谈别的,仅针对手机最广泛使用的指纹识别技术来说说,有哪些技术分支,以及它们是否真的可以保证我们的支付安全,因为一旦攻破了指纹认证,用户手机当中的大多数隐私和资金都会变得岌岌可危。
自从2013年9月苹果公司发布iPhone 5s以来,手机指纹识别技术发展迅猛——从前置/后置的独立指纹模块,到现在科技感十足的屏下指纹,甚至部分手机已做到半屏甚至全屏指纹识别。
我们知道,人类指纹天生具备不变性和唯一性,特别适合作为生物认证要素,而且这种一触即达的体验,更是让人产生很大的依赖性。
那么,当今市场上主流的指纹识别技术都有哪些呢?总体而言,主要有四种:
(1)电容指纹。其原理顾名思义,即在一块布满半导体器件(器件密度决定识别精度)的平面模块上,手指贴上去充当电容的另一面,由于手指表面有凹凸不平的脊谷,凸出处和凹陷处接触器件表面的实际距离就有差别,形成的电容值也就不一样,设备将所有的电容读数汇总构成一幅类似沙盘的3D指纹采样,与手机存储的合法指纹记录进行对比给出匹配结果。
从以上电容指纹的原理不难看出,其采集的指纹数据是有深度信息的,或者说是三维的,而一般打印的平面指纹不具备立体特征,肯定无法骗过电容指纹,但真的就没有办法了么?当然不是!
出于提高识别成功率的考虑,一般厂商都会在指纹识别当中加入自学习功能,通过用户日常使用的增多,不断优化指纹数据,并且适当降低容错门槛,以便手机能够在一些不太理想的情况下(比如手指按偏了一些、指尖覆盖了一些汗水或污物)也能识别用户的指纹。
这样一来,就有好事者琢磨出一种旁门左道——利用手机自学习的特点,使用导电液笔涂抹透明胶布,贴在指纹模块上(只遮挡一部分),让手机主人继续指纹解锁,结果导电液的图案被优化进指纹特征数据,超过了相似度阈值,之后任何人隔着这个胶布用手指按压指纹模块,都可以顺利解锁手机。这就给手机用户的个人隐私与资金安全带来了隐患。
如何应对呢?应对方案很简单——不要把手机借给不信任的人,特别注意指纹模块上是否覆盖有奇怪的贴膜。
(2)光学指纹。基本原理是利用屏幕照亮手指,随后手指的成像透过显示层像素间的小孔,被屏幕下方的光学传感器/摄像头所感知,进而比对识别。
不过,光学指纹技术采集到的指纹信息都是平面的二维图像,而且受制于光线传播路径的影响,采集的数据有损失,因此在2018年10月的GeekPwn国际安全极客大会上,腾讯安全实验室公布了当时手机光学指纹技术广泛存在的缺陷:残迹重用漏洞,即采用反射体欺骗的方法,可以利用屏幕上残存的指纹痕迹加上一张寻常的卡片,让屏下指纹传感器采集到手机主人的指纹残迹并成功解锁。
由于该漏洞影响广泛且攻击手段实在简单,因此,腾讯联合各手机厂商快速更新了指纹识别算法,也就是说如果读者朋友们手上恰好有一部使用光学屏下指纹的2018年10月以前出厂的手机,务必尽快升级手机系统版本,避免漏洞被不法分子利用而造成经济损失。
(3)薄膜光学指纹。基于普通光学传感器或摄像头的光学屏下指纹识别技术受制于传感器大小和成本,难以扩大指纹识别区域,因此为了提升使用体验,部分厂商在概念手机上尝试了薄膜光学指纹识别。这里以上海箩箕公司的技术为例进行解读,其原理是在屏幕中增加一层TFT薄膜层,“指纹信息经由盖板玻璃反射后被像素的光敏器件获取,光子转换为电信号后通过特殊设计的16位模拟/数字电路进行数据分析,再由图像处理技术处理后输出清晰完整的指纹图像”。
由此可以看出,薄膜光学指纹与普通光学指纹并没有本质的区别,手指光学反射的依然是二维图像,如果不增加特殊的活体检测,也会存在前述残迹重用漏洞的可能。
(4)超声波指纹。超声波指纹已在今年最新的旗舰手机上商用,原理类似声呐,通过屏下发射超声波接收反射来收集指纹的脊谷3D数据。它可以穿透油脂和水渍,由于超声波的既有特性,其采集的指纹信息精度要明显高于电容指纹。
然而,很快国外已经有人破解了超声波指纹,他首先拍摄了多张自己在酒杯玻璃上留下的指纹,之后利用Photoshop加工,并用3ds Max建模(需要计算出指纹脊谷的高低差),让照片中的指纹变成立体的3D版本,最后通过高精度的光子树脂打印机制作了树脂指纹模,并成功解锁手机。
这整个过程可以在20分钟内完成,指纹取样完全可以就地取材,即直接提取手机上的指纹痕迹。值得一提的是,这种3D打印假指纹,基本可以破解前面所有3类指纹识别技术,只不过破解技术成本非常的高。
需要指出的是,不少指纹识别供应商早已意识到了风险,并且正在努力改进下一代产品,常见的方案包括:
A.软件算法优化,动态检测指纹按压时的形变(排除某些硬质假指纹的干扰),配合心跳检测,静态检测则依靠采集高精度的图像,比对手指上的汗孔特征(假指纹难以还原)。
B.硬件功能升级,增加对肤色和血流的识别,增强活体识别的强度(假指纹无法模拟)。
不过话说回来,攻破了指纹识别的防线,就可以为所欲为了么?还真不一定!现代风控手段还会在指纹认证后的业务流程当中随时识别异常,比如苏宁金融会对大额陌生转账、异地消费、可疑收货地址等不正常的用户行为实施拦截,风险部门的员工会额外执行电话确认以保护用户权益。
因此,在更安全的指纹识别技术推广以前,读者们不必太过担心。当然,该提醒的也要提醒——建议各位不要在手机当中的备忘录或者相册中存储敏感信息(例如账号密码/取款密码/身份证照片等),毕竟手机本地存储里的数据在指纹解锁后就彻底大白于天下了。
另外,就是不要轻易在网上购买工具制作指纹模,好让同事朋友代签到(比如为了工作或练车),因为一旦指纹模被别有用心的人利用(复制),您的手机甚至家里的指纹锁都不再安全,而且这种风险是长久难以消除的。