本文目录一览：

• 1、指纹解锁手机究竟安不安全
• 2、iPhone 5S指纹识别系统是怎样被破解的？
• 3、多款iPhone指纹漏洞有哪些
• 4、手机“指纹解锁”到底安不安全？
• 5、哪一款手机配置指纹识别系统？
• 6、苹果的指纹识别技术存在安全隐患吗？

指纹解锁手机究竟安不安全

每个人的指纹都是独一无二的，但纽约大学及密歇根州立大学的研究人员发现，两枚指纹之间的局部特征普遍存在相似性，因此手机或其它设备上的那些基于指纹的安全系统，要比想象中的脆弱的多。

系统的漏洞在于，用于身份验证功能的指纹传感器并不会捕捉用户指纹的完整图形，相反，它扫描储存的只有指纹的部分区域，而且许多手机还允许用户在系统里录入多个手指的指纹。只要用户的指纹与系统里保存的区域指纹相匹配，手机就会解锁。据研究人员推测，不同人的指纹区域之间可能存在足够的相似性，足以用来制造出虚假的“超级指纹”，从而骗过手机的指纹传感器。

该研究的合著者，密歇根州立大学计算机科学与工程系教授Arun Ross表示，许多电子设备比如智能手机均开始将指纹传感器用于用户身份验证，但手机上的指纹传感器尺寸很小，扫描录入的只有一部分指纹。为了弥补这个不足，电子设备通常会在注册过程中，要求用户录入单个手指指纹的不同区域点，以确保其中至少有一个会在身份的识别过程中与获取到的指纹图像成功匹配。而正是这一点使得情况不妙。

“由于指纹传感器的尺寸变小，提高传感器的分辨率就显得十分必要，这样才能捕捉到额外的特征点，”Arun Ross说道，“如果不提高分辨率，那么将不可避免地损害到用户指纹的独特性。研究过程中的实证分析也证实了这一点。”

Ross表示，研究团队目前正致力于如何解决这个突出的漏洞。其中包括需要开发出有效的反电子欺骗技术；在用户注册时谨慎挑选指纹的数量和类型；提高小型传感器的分辨率以便于提取更多特征点；提高利用了节点与纹理的识别技术；以及设计更有效的综合方案，从而将用户的多个指纹区域结合起来。

纽约大学计算机科学和工程研究组组长Nasir Memon称，“超级指纹”有点类似于一个黑客，试图用1234这种通用密码来破解PIN码（手机SIM卡的个人识别码）。

Memon表示：“1234这个密码大约有40%的几率是正确的，据我们估计，这个正确率有点高。”

国家科学基金会资助研究人员对8200枚指纹进行分析试验。通过商业指纹验证软件，研究人员每批次抽取800枚指纹，结果显示平均有92枚具备成为“超级指纹”的潜在可能性。（他们将“超级指纹”设计为在随机抽取的每个批次中，至少能够匹配于其中4%的虚假指纹。）

相反地，在800份完整的试验样本中，研究人员只发现了一枚完整的可用作“超级指纹”的人造指纹。Memon表示，“这并不奇怪，匹配部分指纹的成功率要比匹配一整枚指纹的高得多，然而大部分设备用来匹配的都是部分指纹。

研究人员对取自真实指纹图像的“超级指纹”的特征进行分析，建立了一个算法用于创建合成“超级指纹”。实验表明，人造的合成指纹匹配的可能性更高，与某些真实的指纹相比反而更能骗过安全识别系统。而由真实指纹结合制成的“超级指纹”成功匹配了系统中26%-65%的用户指纹，其成功率取决于用户储存了多少指纹图像，并设定了每次最多尝试匹配5次的限制。

用户在手机里录入的指纹越多，安全系统就越脆弱。

研究人员强调他们的工作是在模拟环境下完成的，但需要注意的是，人造指纹技术的发展以及将电子指纹转移到实体的技术，可能导致攻击生物识别设备的可能性提高，这是一个很严重的问题。由于“超级指纹”的高匹配度，设计值得信赖的基于指纹识别的身份认证系统正面临挑战，亟需加强方案的设计，从而利用多种因素进行身份验证，以提高系统的安全性。研究人员认为，这项研究将会影响未来安全系统设计的方向。同时，Memon表示，目前使用密码解锁手机仍是安全的。

相关论文已发表在《IEEE信息鉴定和安全》期刊上。

蝌蚪五线谱编译自scienceblog，译者 狗格格，转载须授权

凡来源署名为“蝌蚪五线谱”的内容，版权归蝌蚪五线谱所有，任何媒体、网站或个人未经授权不得转载，否则追究相应法律责任。申请转载授权或合作请发送邮件至editor@kedo.gov.cn。本网发布的署名文章仅代表作者观点，与本网站无关。如有侵权，文责自负。

作者：狗格格/编译

iPhone 5S指纹识别系统是怎样被破解的？

                                    iPhone 5S指纹识别系统被轻松破解

     据国外媒体报道，柏林黑客组织Chaos Computer Club（以下简称CCC），花了一周时间成功攻破了苹果指纹识别器，并放出了详细的解锁视频。视频中，测试人员先用食指在iPhone 5s上注册，然后用中指沾上乳胶（乳胶上有食指指纹），而后用中指对手机进行解锁测试并且成功解锁。

【破解过程】

     虽然，CCC的破解方法可以成功解锁系统侵入手机，但这一过程并不简单。首先，先对用户的指纹拍照采样，这需要很高的采样精度；其次，再在计算机上对采样指纹进行处理，并用激光打印机将其打印在色粉透明纸上；最后，在透明纸上涂以乳胶等材料，待乳胶干燥后，将其与透明纸小心分离。在用制作好的乳胶薄片解锁时还要不时地对其哈气，让它稍微有些潮湿，这样才能成功解锁。

参考资料：

图片来自百度搜索

多款iPhone指纹漏洞有哪些

多款iPhone指纹漏洞有哪些？

贴上指纹贴，重新注册指纹。没，想到指纹识别人人可解，2017年12月，本报曾刊发题为《主流国产手机出现罕见漏洞或波及上亿部手机》的报道，揭露安卓手机普遍存在的指纹漏洞。经《IT时报》记者实测，不仅安卓手机，苹果手机的指纹解锁机制也存在类似的Bug。

《IT时报》记者发现，目前最主流的苹果手机iPhone 6s、iPhone 7、iPhone 8均能够通过“指纹贴”，即利用其他介质成像的方式攻破指纹识别功能。专家认为，相比较安卓手机，iPhone的指纹识别漏洞安全风险很小，可能导致的安全危害场景也很单一，全球消费者都不必过于担心。

记者实测

人人可解的iPhone 8

剪下一段胶带，在胶带上画上两笔，粘在iPhone 8的Home键处，即可做到人人可解锁。与安卓手机的指纹识别漏洞相比，iPhone的破解多了一道程序，在膜粘附在Home键后，需要重新注册指纹，才能达到人人可解锁的效果。

需要强调的是，iPhone 8注册指纹后，不需要其他操作，直接人人可解。整个过程无须高难度黑客技术，只花短短两三分钟时间就能实现。《IT时报》记者还对iPhone 7、iPhone 6s等多款机型进行测试。经过相同的操作后，iPhone 7、iPhone 6s均实现人人可解锁的效果。

2017年9月，苹果发布了iPhone 8/8 Plus和iPhone X，在全球市场掀起了一股购买狂潮。根据IDC最新发布的手机季度跟踪报告显示，第三季度中国智能手机市场出货量排名依次是华为、OPPO、vivo、小米和苹果。其中，苹果在中国销售880万部手机，市场份额为7.7%。

原理

与安卓机指纹漏洞类似

与安卓手机指纹识别普遍采用的算法类似，苹果Touch ID的Hog算法也来自图像识别技术。迈瑞微董事长李扬渊将上述攻击方式称为“图像注入攻击”，“这个漏洞即通过注册或学习，将贴膜自带的图案注入手机的指纹储存区，从而使同样的贴膜图案可以解锁。”

指纹识别算法不是单一算法，而是一套流程框架下的各个环节算法组合实现的综合模型。总体来说，分为图像增强、几何配准和打分裁决三个环节。贴膜破解针对的是判决环节的漏洞。这一漏洞源自于图像识别算法“只识不别”的问题，当识别指纹与手机里已注册指纹只是部分一致时，手机仍然给予解锁成功的判决，因为它的判别机制是只识别相同的部分，差异的部分不进行区别导致。而实验中在胶带上的图像，就是为了形成固定的图像，使得日后每一个指纹都带有此图像实现解锁。

虽然形成漏洞的原理一致，但是苹果与安卓因硬件差异和软件技术水平的差别，漏洞的程度还是有量化区别的。“苹果收购的Authentec作为第三代RF指纹传感器的发明者，用高端工艺和材料来制造Touch ID，传感器硬件远比Android手机的RF传感器精确，从而在“识”的判断中精度更高，破解难度更大。”李扬渊说道。

为什么苹果手机必须重新注册指纹才可以实现人人可解锁的效果呢?李扬渊表示，苹果的算法软件设计还是以安全为本的，它的自学习更新功能较为谨慎，使得通过学习进行图像注入的攻击更加困难，也就比大多数安卓手机更难破解一些，“目前技术实验认为，只有以指纹注册作为入口进行图像注入攻击，才能攻破iPhone的指纹识别。”

危害

iPhone安全风险较小

你购买过指纹贴吗?在淘宝上，以指纹贴为关键词进行搜索，销量排名第一的指纹贴单品月销量达到2.7万片。现实生活中，一部分群体因手汗大或者指纹情况不理想导致手机解锁成功率很低，为了解决这一体验不佳的问题，很多人选择用指纹贴来加强手机的指纹解锁功能。

一个可发生的场景是，图案可以通过“指纹贴”的形式悄无声息地粘附在指纹贴与Home键粘合处。记者将胶带换成指纹贴进行试验，iPhone再次被破解。更关键的是，贴上指纹贴后，重新录入指纹是合理性操作，在指纹贴的注意事项里，特意强调了“指纹识别不灵敏时，请删除原有的指纹重新录入”。正是这一步骤，为破解提供了可乘之机。

不过与此前本报报道中安卓手机的指纹漏洞风险相比，苹果危险程度较低。李扬渊表示：“大部分安卓手机，包括高端机，都可以用局部随机平面图案实现学习注入，这导致攻击场景丰富化。对苹果手机已实现的攻击，需要使用立体图案，且只能实现注册注入。”

追根溯源全图像算法风靡手机圈的原因，李扬渊认为，或许与安卓手机厂商阵营追随苹果的脚步有关。“苹果发布首次搭载Touch ID的iPhone 5s后，一骑绝尘，安卓手机厂商重用苹果供应链，或者从苹果供应商的跟随者那里采购，很大程度上，安卓手机组装厂对配件的测试标准都由供应商提供，缺乏第三方验证。”

截至目前，因全图像算法导致的漏洞已经覆盖了大部分的苹果与安卓机型。

参考链接：

供参考，希望能帮到你

手机“指纹解锁”到底安不安全？

一般情况下来说，其实是安全的，不过现在网络上也有卖那种指纹套的。

哪一款手机配置指纹识别系统？

在各地电子名片、电子钱包等新业务不断推出的情况下，有媒体报道说指纹手机将可能成为手机制造商下一个竞争热点，这无疑非常具有吸引力。提起指纹手机，其实也不是什么新鲜事，早在1998年的时候，西门子就曾推出过第一款指纹手机，后来FUJISTU、NTT以及国内的一些手机厂商宇龙和波导都曾推出过指纹手机，而现在，这项技术被韩国的泛泰、SAMSUNG、LG应用得非常热闹，由此不难看出指纹识别手机所预示出地前进方向。ZhU

??O记论坛 -- R,)N

那么指纹手机到底是怎么一回事呢？所谓指纹手机就是指在现有的手机主板上接入指纹采集芯片，在手机的主控程序中增加指纹识别处理模块，从而使其能够采集使用者的指纹并加以识别，以达到对手机操作的某些控制，或者为某些移动业务提供指纹身份认证的功能。P

??O记论坛 -- |FM

相比较视网膜识别、语音识别、虹膜识别、签名识别等其他的生物特征识别模式，指纹识别具有采集设备价格低、采集方式友好、采集图像较易处理、采集处理技术较成熟等优势，比较适合用于中小型设备尤其是像手机这样的移动终端产品中。@cX指纹手机加密到家

我们都知道(至少在电影中看到过)，由于每个人的指纹各不相同，所以常常用在需要进行保密或需要确认身份的场合中。现在，这种技术已经被导入到移动电话领域。采用指纹加密技术的手机，一旦失窃，他人也无法使用。

西门子

西门子指纹手机的工作原理，是在手机上加装金属片状的指纹感应器，作手机的保密系统开启键。该感应器小巧如SIM卡，上面有六万五千个微型感应器，识别指纹速度达每秒百分之一毫米，功能包括扫描、保存、分析、确认指纹样本等四个工序。

机主使用这种手机时，需预先记录自己的指纹，然后在拨电话前将手指放在金属片上作身份确认，确认无误后即可成功拨出电话。即使电话被盗，由于指纹感应器内没有记录新用户的指纹资料，所以手机也无法启动。

其实，早在1998年西门子公司就已成功示范了Fingertip指纹识别技术，并将该技术移植在SL10手机上作模拟试用。

这部特殊的西门子SL10手机，在机身前面(图1)和后面都装有一个跟SIM卡大小相当的金属片指纹感应器。机主除可以预先输入本身的指纹样本外，还可以增加最多59个其他用户的指纹。而“其他使用者”必须经机主指纹作授权，方能将指纹记录在案，而且每位用户都有各自的使用权限。此外，每个使用者最多可保存10只手指指纹，每只手指最多可保存60个指纹样本。

三星

2000年5月，韩国一家名为Pass 21的公司，就以三星的SGH－A100手机为样本，成功地示范了一次指纹手机的转账服务。

该手机暂定名为Pass－Phone（图2），以指纹代替常规的数字口令，在手机上作银行转账。此外，这种手机还可以凭指纹认证，上网进行电子商务活动和收发电子邮件的通行许可，并防止黑客的入侵。但三星公司方面对该技术并不太感兴趣，也没有公布这类手机的上市时间。

三菱

除了西门子外，日本三菱公司也宣称将在2001年推出指纹手机。手机内同样装有金属感应器式的指纹识别设备。相比起旧式的口令或IC卡识别方法，指纹识别的错误率不到0.1％。

这种手机的使用方法也大同小异，持机人在拨电话时将手指放在指纹感应器处，手机即能辨认出该指纹是否与事先输入的手机机主指纹样本一致。一旦不同，持机人则无法打出，手机可借此避免被他人盗用。

赛杰

法国Sagem(赛杰)公司在2000年1月的巴黎2000年电信展中，首次展出一款外形与MC959相似的指纹手机，名为MC 959 ID。后者与前者不同之处，是在电池背面装嵌有指纹感应器，使双频GSM手机无须再辨别口令，以指纹取而代之。可防止机主之外的人盗用电话，以及在手机遗失或失窃后提供额外的安全保护。可惜赛杰公司目前尚未说明该型号手机的上市时间

苹果的指纹识别技术存在安全隐患吗？

�0�2 历经多日流言，苹果在今日证实新的 iPhone 5s 将配备指纹扫描功能。你可以简单的将手指置于 home 键上，进而扫描指纹来解锁手机。甚至可以通过指纹识别来登陆 iTunes，不必再为每次购买输入密码。但是苹果的指纹识别可靠吗？会不会有什么隐患？前 Google 安全大师，安全领域的专家 Shuman Ghosemajumder 发表了自己的看法。他目前就职于神秘的安全领域创业公司Shape Security。 Ghosemajumder 认为指纹识别装置听起来还是比较安全的。他自己很可能会去尝试使用，并从中发掘出更多的细节。 好消息是，扫描出的指纹只会被本地存储，而不会上传云端。这一点非常重要。 Ghosemajumder 表示： 建立指纹的云端数据存储中心是极端危险的。但无疑苹果在这方面会得到世界级安全专家的建议。 但是他还是指出，某些方面还是会导致指纹识别出现安全隐患。 指纹扫描必须只基于硬件，扫描装置不能通过软件激活，或是将指纹信息传送给软件。如果该装置能够被软件激活，则无法避免被恶意代码攻击的风险。而基于硬件的实现仅会通知软件“指纹验证通过”或“指纹验证失败”，但不会与软件分享任何指纹相关的数据与信息。 在本地存储指纹照片方面，其存储位置必须非常安全。这个位置必须禁止软件的访问。否则黑客会通过这种方法获取指纹。 苹果应当对其iTunes使用指纹扫描设备的方式作出解释。是否会对指纹进行临时存储？因为即便是在云端，对指纹的临时存储也可能造成安全风险。 Ghosemajumder 称安全社区的同仁们将会不遗余力的将所有这些问题抛给苹果。他笑称：即便苹果不予置评，我们也会在“iOS 7 被越狱”之后自己得到这些答案。一台手机越狱意味着能够成功侵入其软件系统，并获得随处查看的权利。技术专家通常在新 iPhone 上架数天甚至数小时内就能做到。 显然指纹识别这个功能并没有它听起来那么安全。好消息是，你可以选择将它关闭。