“超聲波”原理性缺陷? 支付寶微信關(guān)閉三星支付功能

 10月23日，最近國外消費者一次意外發(fā)現(xiàn)，再次將三星手機送上了輿論熱搜榜。超聲波指紋影響金融安全，涉事機型又是三星S10和Note10旗艦機型，三星官方公告一出，引起了多方多方重視。

英國夫婦發(fā)現(xiàn)三星Galaxy S10手機指紋識別存在問題，在給手機裝上全包硅膠殼后(包括正面)，錄入指紋，意外發(fā)現(xiàn)任何人都能解鎖手機，這一情況得到了國內(nèi)外網(wǎng)友大量實驗證實，不僅指紋，連指關(guān)節(jié)和肘關(guān)節(jié)都能進行解鎖。

更多的三星手機用戶嘗試發(fā)現(xiàn)，拋開英國夫婦帶有硅膠套錄入指紋的先決條件，僅在解鎖時放置硅膠套殼，Galaxy S10和 Galaxy Note 10指紋識別通過率較高，非錄入指紋可以正常解鎖。

隨后，三星公司發(fā)布官方公告，承認其Galaxy S10和 Galaxy Note 10兩款手機和Tab S6平板指紋識別存在漏洞。此公告引起全球多家銀行以及第三方支付公司警惕，微信支付、支付寶已經(jīng)關(guān)閉相關(guān)功能。

微信、支付寶關(guān)閉指紋支付服務(wù)

微信支付方面表示，10月21日下午17點，微信團隊收到三星方面通知，S10和nNOTE 10機型的指紋功能存在漏洞。為避免支付安全隱患，微信支付在21日關(guān)閉了上述機型的指紋功能。

支付寶也同步關(guān)閉三星上述機型支付功能。

中國銀行手機APP近日推送通知《關(guān)于臨時關(guān)閉三星部分手機型號手機銀行指紋服務(wù)的公告》。為保障用戶登錄安全，中國銀行手機銀行APP已暫時關(guān)閉Galaxy S10和 Galaxy Note 10兩款手機的指紋登錄功能。其他品牌型號手機、平板指紋登錄不受影響。

三星表示，最快下周更新補丁。

罪魁禍?zhǔn)资?ldquo;超聲波”原理性缺陷

全面屏大肆滲透手機設(shè)計之后，屏幕指紋成為全面屏手機重要技術(shù)功能之一。

今年年初，三星Galaxy S10系列正式發(fā)布，其核心賣點，為聯(lián)合高通首發(fā)第三代超聲波屏幕指紋識別技術(shù),號稱對比光學(xué)指紋具有更安全(采集3D圖像)、抗水抗污漬也更快速。今年8月，三星Note 10 系列發(fā)布，生物識別延續(xù)了超聲波屏幕識別技術(shù)。

上海圖正科技公司在指紋識別領(lǐng)域深耕多年，圖正CTO趙旭接受《科創(chuàng)板日報》記者采訪時表示，三星兩款新機之所以被破解，主要原因是超聲波導(dǎo)致算法安全上的漏洞。

“超聲波是聲阻抗成像，跟硅膠套透不透明沒有關(guān)系，就像B超一樣，通過聲波介質(zhì)表面反射信號形成指紋聲圖像。但由于指紋圖像根據(jù)按壓的力度、手指的干濕度等情況不同，會導(dǎo)致按壓時圖像有所差異，所以全圖像算法的一大特點是擁有自學(xué)習(xí)功能，也就是說指紋芯片要不斷學(xué)習(xí)新的特質(zhì)、更新圖像以保證解鎖成功率。”

“當(dāng)硅膠套放置上去解鎖后，指紋識別過程中，硅膠套內(nèi)部看不見的結(jié)構(gòu)組成，形成了聲圖像，當(dāng)成手指的新變化學(xué)習(xí)進去，并更新到指紋聲圖像中。”“陌生指紋解鎖時，異物紋始終存在，算法比對到異物紋與更新過的含有異物紋的指紋聲圖像一致，算法判定解鎖通過。”

趙旭以及多名業(yè)內(nèi)人士表示，這是算法上的漏洞，而非硬件漏洞，可以通過后續(xù)軟件版本更新解決。“不過后續(xù)算法更新后，屏幕指紋識別性能會受到一定影響，如解鎖成功率某種程度上會降低。”

一周內(nèi)很難解決

“這一次三星爆發(fā)的問題，跟當(dāng)年電容貼膜原理性漏洞幾乎一樣，唯一的區(qū)別是物理量不同。”同樣指紋芯片領(lǐng)域沉淀多年的邁瑞微CEO李揚淵接受《科創(chuàng)板日報》記者采訪時說。

2017年末，也爆發(fā)一次指紋芯片安全危機，一塊橘子皮就能解鎖當(dāng)下幾乎所有主流手機，大面積引起用戶恐慌。當(dāng)時市場上主流手機標(biāo)配home鍵解鎖，指紋識別多采用匯頂科技以及FPC兩家整體解決方案。因home鍵范圍有限，手機搭載的指紋芯片尺寸較小，業(yè)內(nèi)常用的指紋識別解決方案，為全圖像比對算法，通過電容形成指紋圖像，用戶解鎖時圖像與錄入圖像比對，重合度高即判定通過。

“只要識別出圖像一致的部分即可通過，而不會去分辨不一樣部分是否為人為干擾圖像。”李揚淵認為，全圖像算法漏洞是“只識不別”。當(dāng)年事件爆發(fā)后，國家質(zhì)檢總局曾有過介入。“當(dāng)年問題是否成功解決尚存疑問，沒想到相同的缺陷，還會再爆發(fā)一次危機。”

對于三星方面表示一周之內(nèi)能解決的說明，李揚淵并不認同，這件事看起來并不復(fù)雜，但是解決起來十分棘手。“三星手機用的是高通算法，高通在屏下指紋算法上沒有過多的經(jīng)驗積累。此次漏洞修復(fù)需要轉(zhuǎn)換算法路線，一周的時間根本不夠，也不符合開發(fā)周期。”李揚淵最后說。

不僅是國內(nèi)市場，三星英國銀行NatWest和Nationwide Building Society應(yīng)用已經(jīng)從三星App市場下架，英國國家建筑協(xié)會也刪除問題機型的指紋登錄選項，包括韓國本土的銀行也停用相關(guān)指紋功能，直到三星解決指紋安全問題為止。