“胶带+导电笔就能破解手机指纹锁?说好的放心支付呢”

照片来源:照片网

开机，用指纹手机支付，对很多手机家人来说，这可能已经成为了日常生活的一部分！ 但近日，一家苏州企业向国家工业和信息化部、公安部、网络信息化事务局、人民银行等四部门通报，发现手机指纹解锁存在的惊人漏洞。 使用透明胶带+导电笔，可以在秒内打破手机指纹识别系统，轻松开机，甚至支付。 可以放心用手机指纹支付吗？

现场演示导电笔+透明胶带，秒内手机指纹锁定

12日下午，在这家位于苏州独墅湖科教创新区的公司实验室，该企业首席技术官李扬渊向记者演示了这一解读过程。

首先，李扬渊随便从办公室工作人员那里拿起手机，用左手大拇指按下指纹解锁按钮，按下程序，让手机进入指纹解锁模式。

那么，指纹解锁怎么打破呢？ 让我们看看下一个操作。

步骤1

李扬渊拿来透明胶带+导电笔，用导电笔在透明胶带上画了图案。

步骤2

将图案部分对准手机的指纹解锁按钮，将透明胶带贴在手机上。

步骤3

李扬渊用拇指按下指纹解锁按钮，将手机设为打开画面、锁定画面，重复3次后，将手机设为锁定状态。

最后一次

李扬渊把食指按在指纹解锁按钮上。 我看到李扬渊用左手大拇指处于指纹解锁模式的这部手机居然被解锁了。

李扬渊又用了他的另外八个手指，成功解锁了这部手机。 他拿着海绵清洗布，按下手机指纹解锁按钮，成功解锁。

“海绵清洗布只是工具。 使用橘子皮等其他材料，只要按下手机上的指纹解锁按钮，就可以解锁这部手机。 ”李扬渊表示，这种破解方法适用于任何企业品牌的手机。 “手机一旦被他人解锁，手机所有者的隐私和秘密也能窥得一斑。 ”

“隐私泄露是一部分，”李扬渊告诉记者，如果用手机支付的方法是指纹支付，就意味着面临着财产损失的安全隐患。 “别人用这种方法可以很容易地转移你的微信、支付宝( Alipay )、网络银行账户的钱。 ”

在采访中，记者了解到，目前包括微信、支付宝( Alipay )、一点银行手机账户在内，确实使用指纹这种方法进行支付和转账。

揭露为什么可以任意解锁？ 指纹解锁的原理是这样的

李扬渊告诉记者，其实现在我们之所以把手机设为指纹解锁的模式，是因为我们第一次在手机上输入手机指纹的时候，在手机的本地数据库里留下了指纹的图案。

多次按下其手指后，在手机本地数据库中，多次识别、作为对象、保存这些图案，最终成功地将这些图案集中固定在手机本地数据库中。

“用这种方法，我们将手机设置为指纹解锁模式后，当我们再次按下解锁按钮时，系统会以收集到的图案新闻和数据库图案新闻为对象，在手机软件达到当初设置的相似度后，将手机画面解锁。 ”

但是，问题就在这里。

一盘胶带“偷梁换柱”

“手机指纹识别并不是像我们想象的那样100%一致才能验证解锁。 也许20%左右就可以了。 ”李扬渊表示，在手机的指纹按钮上贴上手脚移动的胶带后，主人用手指按下按钮，就会通过传感器在手机上生成新的指纹图案。 “新指纹的图案和导电液的图案一样，上有机器主手指的指纹。 ”主连续锁定屏幕，解除指纹锁定接通电源后，智能手机的学习功能，可以“机灵”地记住带有新导电液图案的指纹图。 此时，如果用所有者的任意手指或任何人的手指进行指纹解锁，则会形成一个个带有相同导电液图案的新指纹，但手机只识别该导电液图案进行解锁。

可怕的风险

“手机指纹识别系统的这个漏洞，其实很可怕。 ’李扬渊说，有人可以使用例如修理手机时的指纹贴纸来窃取识别。 “指纹贴纸是防止手上出汗的东西。 粘贴后，如果发现不合适，商家建议再输入一次指纹。 这时，如果重新输入指纹，就会进去。 ”

“用导电笔，在指纹上贴几幅画就行了。 贴上这个胶卷的话，也可以解除手机的锁定。 ”原来，手机指纹识别软件将导电涂料的图案也作为主人指纹的一部分进行识别。 之后，再次按下他人的手指，一半的指纹是错误的，但是导电涂料的图案被识别为指纹，手机被解锁。

本质上是通过图像识别来解锁

李扬渊认为，目前包括苹果在内的指纹算法供应商只是进行指纹识别，而不是严格意义上的指纹识别。

在采访中，我知道了李扬渊他们之所以发现这个指纹洞，是因为明年下半年他看到了一篇信息报道。 一个机主有一次把安卓机摔坏了，指纹键出现永久的裂缝后，那个手机所有人都可以解锁了。 “以前我通常认为这是个案例。 很偶然。 之后，经过深入调查，发现是这个洞造成的。 ”

追问为什么会有这样的漏洞

制造商降低手机指纹的识别度，在李扬渊看来，第一，可能是考虑顾客的舒适度。 “识别度低，解锁的话，成功率高，顾客使用方便。 否则，如果制造商提高识别度，解锁的通过率就会降低，给顾客带来不便。 ”

当然，李扬渊也表示，手机这个指纹识别软件系统的提供商，由于软件制作业务的水平很差，不排除造成了这样大的安全漏洞的可能性。

李扬渊表示，目前，手机首要由工信部管理，管理范围集中在手机的加入和通信质量等方面。 指纹解锁了这些安全上的日常监管和市场准入，主管部门是公安部门。 “也就是说，现在管理手机的部门在指纹解锁方面不太专业。 专业部门并不完全是现在的监管部门。 ”

醒来

在日常生活中，不要让你的手机离开你的眼睛。 基本上不会给别有用心的人机会。 在手机上做手脚破解指纹锁。

关闭相关部门已经采取了行动

在采访中，李扬渊告诉记者，他们向国家工业和信息化部、公安部、网络信息化事务局和人民银行通报后，有关部门已经采取了行动。

现在质检总局好像介入了，将来可能会把这个纳入手机的生产质量管理中。 “这个软件的不完备可以归结为产品的质量问题。 ”李扬渊表示，未来国家工商总局也将重点跟进这一安全隐患，有可能根据质检部门做出的技术判定开展行政执法工作。 另外，手机主管部门的工业和信息化部制定了安全漏洞的检查标准，在有安全漏洞的手机上市之前将其屏蔽。

手机网上银行也可能有漏洞[/s2/]

“其实，手机网上银行的风险也很高。 ’李扬渊告诉记者，通常机主聘用手机网上银行时，通常会产生银行账户和密码等机密新闻。 这些机密新闻相当于按照正常要求，在手机上单独打开安全的私人空之间，单独安全保存，也就是在一家银行设立保险箱。 即使手机中植入了木马病毒，这些机密新闻也不会被盗。

但是，目前许多企业品牌的手机公司为了节约价格，没有在手机上单独为业主开设这个“保险箱”。 一旦手机被植入木马，手机上存在的这些机关主的机密新闻，就会成为“裸奔”的新闻，可以随便被盗。

李扬渊建议，在采用手机网上银行时，一定要事先检查自己的手机是否设置了这个“保险箱”。 如果不能明确的话，最好不要在手机上采用网上银行。

资料来源:扬子晚报记者:薛马义

来源：经济之声