指紋開機(jī)，指紋手機(jī)支付，對于很多手機(jī)一族來說，這可能已經(jīng)成為日常生活中的一部分。

不過，最近一家蘇州公司就向國家工信部、公安部、網(wǎng)信辦、人民銀行四部門舉報，他們發(fā)現(xiàn)了手機(jī)指紋解鎖存在的一個驚天漏洞——只要用一段透明膠帶+一支導(dǎo)電筆，就可以秒破手機(jī)指紋識別系統(tǒng)，輕松開機(jī)，甚至支付。

你還敢放心地使用手機(jī)指紋支付嗎？

現(xiàn)場演示：導(dǎo)電筆+透明膠帶，秒開手機(jī)指紋鎖

12日下午，在位于蘇州獨(dú)墅湖科教創(chuàng)新區(qū)的這家企業(yè)實(shí)驗(yàn)室內(nèi)，該公司首席技術(shù)官李揚(yáng)淵向記者演示了這一破解過程。

首先，李揚(yáng)淵隨便從辦公室的員工中拿來一部手機(jī)，用左手大拇指按在指紋解鎖鍵上，按程序，將手機(jī)設(shè)置成為指紋解鎖模式。

那么，指紋解鎖怎么破呢？且看下面的操作：

步驟一

李揚(yáng)淵拿來一段透明膠帶+一支導(dǎo)電筆，用導(dǎo)電筆在透明膠帶上，畫上一些圖案。

工作人員展示使用的是最普通的膠帶

步驟二

把圖案部分對準(zhǔn)手機(jī)指紋解鎖鍵，將透明膠帶貼在手機(jī)上。

步驟三

李揚(yáng)淵用大拇指按在指紋解鎖鍵上，將手機(jī)開屏、鎖屏，反復(fù)三次后，再將手機(jī)調(diào)至鎖屏狀態(tài)。

最后，李揚(yáng)淵將食指按在指紋解鎖鍵上。記者看到，這部之前李揚(yáng)淵用左手大拇指設(shè)置成指紋解鎖模式的手機(jī)，竟然解鎖了。

手機(jī)被成功解鎖

李揚(yáng)淵又用他的其他8個指頭，成功將這部手機(jī)解鎖。他甚至還拿了一塊海綿清洗布，按在手機(jī)指紋解鎖鍵上，也成功解鎖。

“海綿清洗布只是一個道具而已，你用一塊橘子皮等其他材料，只要按在手機(jī)指紋解鎖鍵上，都可以將這部手機(jī)成功解鎖。”李揚(yáng)淵表示，這個破解方式對任何品牌的手機(jī)都可以。“手機(jī)能被別人解鎖，那么手機(jī)所有者的隱私和秘密，也就一覽無余。”

“隱私泄露只是一部分，”李揚(yáng)淵告訴記者，如果手機(jī)上的支付方式，采用的是指紋支付，那就意味著面臨財產(chǎn)損失的安全隱患。“別人可以輕松地用這個方式，將你微信、支付寶和網(wǎng)銀賬戶里的錢，成功轉(zhuǎn)移走。”

記者了解到，目前微信、支付寶，包括一些銀行的手機(jī)賬戶，確實(shí)是采用了指紋這個方式進(jìn)行支付和轉(zhuǎn)賬。

揭秘：為什么能做到任意解鎖？

李揚(yáng)淵告訴記者，其實(shí)現(xiàn)在我們將手機(jī)設(shè)置成為指紋解鎖的模式，是通過我們在手機(jī)上首次錄入手機(jī)指紋時，在手機(jī)本地數(shù)據(jù)庫里保存下一個指紋圖案。

多次按下那個手指后，就是在手機(jī)本地數(shù)據(jù)庫里，對這些圖案，進(jìn)行多次識別、對比和存儲，最終成功將這些圖案集納固定在手機(jī)本地數(shù)據(jù)庫里。

“通過這個方式，我們將手機(jī)設(shè)置成指紋解鎖模式后，當(dāng)我們用手指再次按在解鎖鍵上時，系統(tǒng)將采集到的圖案信息和數(shù)據(jù)庫里的圖案信息進(jìn)行對比，如果達(dá)到了手機(jī)軟件當(dāng)初設(shè)定的相似度，就可以成功將手機(jī)解屏。”

但，問題恰恰就出現(xiàn)在這里。

一段膠帶“偷梁換柱”

“手機(jī)的指紋識別，并不是我們想象中的那樣100%比對一致才會驗(yàn)證通過解鎖，可能只要20%左右就可以了。”李揚(yáng)淵說，當(dāng)手機(jī)的指紋按鍵貼上動了手腳的膠帶后，機(jī)主用手指按鍵時，通過傳感器，手機(jī)就會生成新的指紋圖案。新指紋圖案等于導(dǎo)電液圖案，加上機(jī)主手指指紋，在機(jī)主連續(xù)鎖屏，再指紋解鎖開機(jī)之后，智能機(jī)的學(xué)習(xí)功能，就能讓它“機(jī)靈”地記住了新的、帶有導(dǎo)電液圖案的指紋圖。這時，機(jī)主的任何一根手指或任何人的手指去進(jìn)行指紋解鎖，會形成一個個帶著同樣導(dǎo)電液圖案的新指紋，而手機(jī)只識別這個導(dǎo)電液圖案就解鎖放行。

可怕的風(fēng)險

“手機(jī)指紋識別系統(tǒng)上的這個漏洞，其實(shí)蠻可怕的。”李揚(yáng)淵說，比如有人可以利用修手機(jī)時的指紋貼來盜取識別。“指紋貼是防手汗的，貼上去以后發(fā)現(xiàn)不怎么好用，商家會建議你重新錄入一遍指紋，這時候你要是再重新錄入一遍指紋，那就中招了。”

“用導(dǎo)電筆事先在指紋貼上畫上幾筆就行，只要貼了這層膜，手機(jī)也可以解鎖。”原來，手機(jī)的指紋識別軟件，會把導(dǎo)電涂料的圖案也識別成主人指紋的一部分。之后，別人的手指再按上去，雖然一半的指紋不對，但導(dǎo)電涂料的圖案卻被識別為指紋，從而手機(jī)被解鎖。

本質(zhì)是圖像識別解鎖

李揚(yáng)淵認(rèn)為，目前包括蘋果在內(nèi)的指紋算法供應(yīng)商，只是做了指紋認(rèn)識，而不是嚴(yán)格意義上的指紋識別。

在采訪中，記者得知，李揚(yáng)淵他們之所以會發(fā)現(xiàn)這個指紋漏洞，是因?yàn)?017年下半年他看到一則新聞報道——一位機(jī)主有一次將安卓機(jī)摔壞了，指紋鍵形成永久裂紋后，那部手機(jī)卻變?yōu)槿巳四芙怄i了。“以前一般情況下，我們會以為這是個個案，是巧合。后來我們深入一研究，卻發(fā)現(xiàn)是這個漏洞造成的。”

追問：為何會有這樣的漏洞？

制造商之所以要降低手機(jī)指紋的識別度，在李揚(yáng)淵看來，第一，可能是考慮客戶的舒適度。“識別度低，解起鎖來，成功率高，客戶用起來也更方便。否則的話，如果制造商提高識別度，解鎖通過率會低，讓客戶感覺不方便。”

當(dāng)然，李揚(yáng)淵也表示，他們也不能排除有一種可能，就是手機(jī)這一指紋識別軟件系統(tǒng)的供應(yīng)商，軟件制作業(yè)務(wù)水平不夠，才造成了如此大的安全漏洞。

李揚(yáng)淵告訴記者，目前關(guān)于手機(jī)這塊，主要是工信部在管理，而管理范圍又主要集中在手機(jī)入網(wǎng)和通信質(zhì)量等方面。指紋解鎖這些安防上的日常監(jiān)管和市場準(zhǔn)入，主管部門則是公安部門。“換句話說，目前管理手機(jī)的部門，恰恰在指紋解鎖方面不是很專業(yè)。而專業(yè)的部門，恰恰又不是目前的監(jiān)管部門。”

最后提個醒：日常生活中，別讓你的手機(jī)離開你的視線！這樣，基本上就不會給別有用心者機(jī)會，在你手機(jī)上做手腳來破解你的指紋鎖。