一次意外的Home鍵摔裂,手機(jī)人人可解,是意外還是必然?多品牌手機(jī)出現(xiàn)相同癥狀,是小概率事件還是產(chǎn)品算法漏洞?相同問題只存在于一家芯片供應(yīng)商還是普遍問題?
從微博的一則爆料開始,《IT時(shí)報(bào)》記者從2017年10月開始持續(xù)追蹤手機(jī)指紋芯片漏洞問題,接連發(fā)出五篇相關(guān)報(bào)道,尤其是在2017年12月1日的《主流國(guó)產(chǎn)手機(jī)出現(xiàn)罕見漏洞或波及上億部手機(jī)》一文中,通過專家采訪和親自測(cè)試,最終明確:由于手機(jī)指紋識(shí)別領(lǐng)域普遍采用了全圖像識(shí)別算法,而這種算法存在普遍性漏洞,一旦被有心人利用,手機(jī)指紋鎖形同虛設(shè),人人可解,波及廠商除了主流國(guó)產(chǎn)手機(jī)廠商外,甚至還有蘋果。
系列報(bào)道見報(bào)之后,引起多方關(guān)注,《揚(yáng)子晚報(bào)》、中央電視臺(tái)等媒體多次跟蹤報(bào)道,近期的一則央視報(bào)道中更是指出,不僅手機(jī)指紋芯片存在相同問題,相關(guān)指紋門鎖具也有類似漏洞,這在智能鎖具市場(chǎng)引發(fā)一陣喧嘩。
為此,《IT時(shí)報(bào)》記者進(jìn)一步采訪解鎖的操作者、鎖具廠商和安全專家,在他們看來,報(bào)道中提到的解鎖模式有相對(duì)特殊的操作場(chǎng)景,消費(fèi)者不必過度恐慌,但同時(shí),算法僅僅是智能鎖開鎖的一種方式,由于目前并無統(tǒng)一標(biāo)準(zhǔn),同一款鎖具采用的開鎖方式越復(fù)雜,漏洞存在的概率就越高,因此提醒消費(fèi)者,購(gòu)買智能鎖還是要盡量選擇品牌產(chǎn)品。
指紋門鎖也存在漏洞
“民以食為天,以居為安!毕胍依锇踩^得舒心,“門”的重要性往往擺在第一位。不過,常常忘帶鑰匙的尷尬,開始讓鎖具廠商尋求更便捷的開門方式,于是智能鎖在家庭市場(chǎng)熱了起來。
然而,便捷的同時(shí),智能門鎖真的安全嗎?1月25日,CCTV-13新聞?lì)l道《指紋識(shí)別,當(dāng)真安全嗎?》的新聞中,除了指出手機(jī)存在安全漏洞,一張膜即可破解外,還展示了帶指紋解鎖的筆記本電腦以及指紋門鎖被破解的畫面。比起筆記本、手機(jī)等私人物品,消費(fèi)者擔(dān)心,裸露在外的指紋門鎖帶來的安全隱患更大。
視頻中進(jìn)行破解操作的是蘇州邁瑞微電子有限公司工作人員,其董事長(zhǎng)李揚(yáng)淵在接受《IT時(shí)報(bào)》記者采訪時(shí)透露了視頻中指紋門鎖的破解過程。新聞報(bào)道中,重點(diǎn)演示的安卓手機(jī)破解方法較為簡(jiǎn)單,只需要將膜貼上去之后,原主人解鎖一次后,便能實(shí)現(xiàn)人人可解的效果,但是指紋門鎖的破解過程相對(duì)復(fù)雜很多。
“貼膜之后還需要重新注冊(cè)指紋,注冊(cè)完成后再解鎖幾次,才能達(dá)到人人解鎖的效果!崩顡P(yáng)淵表示,重新注冊(cè)指紋是必要操作,不可省略。
這樣破解方法與此前《IT時(shí)報(bào)》報(bào)道中iPhone被破解的方法類似,但是指紋門鎖被破解的場(chǎng)景出現(xiàn)比較少。李揚(yáng)淵坦承,相比手機(jī),指紋門鎖的攻擊場(chǎng)景很少,因?yàn)榧彝コ蓡T較為固定,二次錄入指紋可能性較小。
無需恐慌,只是小范圍警報(bào)
新聞報(bào)道中出現(xiàn)的這把智能門鎖是通過淘寶購(gòu)買,售價(jià)因材質(zhì)不同,分為799元至999元不等。通過商品詳情頁可以看到,這把號(hào)稱德國(guó)品質(zhì),應(yīng)用半導(dǎo)體指紋識(shí)別的智能門鎖,是采用RISC處理器內(nèi)核,并集成了指紋算法專用硬件電路。
通過拆解,李揚(yáng)淵發(fā)現(xiàn)這把鎖采用的是比亞迪芯片,兆易創(chuàng)新的單片機(jī),但是模塊商沒有打標(biāo),“無法確定模塊廠商,就很難判定出現(xiàn)該問題的源頭在哪里,但可以確認(rèn)的是,算法的最后一層判決出了差錯(cuò)。”
指紋識(shí)別算法是一套流程框架下的各個(gè)環(huán)節(jié)算法組合實(shí)現(xiàn)的綜合模型?傮w來說,分為圖像增強(qiáng)、幾何配準(zhǔn)和打分裁決三個(gè)環(huán)節(jié)。指紋門鎖的貼膜破解法,針對(duì)的是判決環(huán)節(jié)漏洞。“如果從結(jié)果倒推,可能存在好幾種情況,有可能是采用了圖像算法,又或者是傳統(tǒng)指紋特征點(diǎn)算法水平不高,”李揚(yáng)淵表示,“指紋特征提取實(shí)現(xiàn)不好,比如說偽細(xì)節(jié)特別多,最終判定是否開鎖時(shí),有可能只識(shí)不別!
與手機(jī)內(nèi)部容量有限不同,主流的指紋門鎖搭載的傳感器面積至少是手機(jī)芯片的2倍以上。指紋門鎖的算法方案大部分以傳統(tǒng)利用指紋特征的算法為主,為了提高解鎖速度與體驗(yàn),部分算法廠商會(huì)采取傳統(tǒng)算法與全圖像算法相結(jié)合方案。
指紋門鎖算法提供商上海圖正董事長(zhǎng)劉君分析,“現(xiàn)在指紋門鎖考慮到商業(yè)辦公的需要,可容納指紋至少都在百枚以上。而全圖像算法做不到這一點(diǎn)!彼J(rèn)為,由于全圖像算法對(duì)CPU芯片性能要求高,很難瞬間進(jìn)行大量的運(yùn)算,在1秒的時(shí)間里比對(duì)上百枚指紋,所以指紋門鎖很少采取全圖像算法解決方案。如果該漏洞確實(shí)因全圖像算法導(dǎo)致,劉君認(rèn)為用戶不必?fù)?dān)心,主流傳統(tǒng)的廠商并不會(huì)純粹只采取全圖像算法解決方案。
李揚(yáng)淵也表示,只實(shí)驗(yàn)了一把門鎖就發(fā)現(xiàn)了這個(gè)漏洞,沒有做普遍調(diào)查,而且攻擊場(chǎng)景也有限,“所以只是小范圍警報(bào)。”
消費(fèi)提醒:盡量選擇知名品牌
不過,盡管指紋門鎖芯片廠商認(rèn)為,指紋被破解的大范圍概率并不存在,但這并不意味著,人們對(duì)智能鎖可以有足夠的樂觀。
1月30日,《IT時(shí)報(bào)》記者走訪了百安居、紅星美凱龍家居城,市場(chǎng)上在售的指紋門鎖大多在2000元以上,類似李揚(yáng)淵破解的那種智能門鎖,線下門店幾乎沒有銷售。但在淘寶、京東等電商平臺(tái)上,打著智能門鎖旗號(hào)的店鋪有上千個(gè),而且價(jià)格差異明顯,銷量靠前的多為千元以下的智能門鎖。
“指紋門鎖市場(chǎng)魚龍混雜,參差不齊,消費(fèi)者靠直觀分辨是否安全難度很大! 某從事公安科學(xué)技術(shù)研究的人員告訴記者,“京東、天貓也曾想給上線門鎖產(chǎn)品提一個(gè)標(biāo)準(zhǔn),讓消費(fèi)者可以明確選擇,但是了解下來很難做評(píng)估,只能去檢測(cè)。目前,智能門鎖沒有強(qiáng)制性的檢測(cè)要求,所以很多廠商并不會(huì)送去專門機(jī)構(gòu)檢測(cè)!
目前市面上常見的智能門鎖往往擁有多種開鎖方式:指紋、IC卡、密碼、鑰匙等四種是常見的配置,而算法僅僅是存在指紋這一種方式上的漏洞。業(yè)內(nèi)專家表示,雖然前文報(bào)道中提到的安全隱患無需太多的擔(dān)憂,但需要重視的是智能門鎖的整體安全,復(fù)制IC卡、破解密碼、黑客攻擊聯(lián)網(wǎng)門鎖等等,都很可能比算法破解要容易得多。
由于大部分智能鎖仍然具備機(jī)械鎖芯,目前智能鎖唯一強(qiáng)制性執(zhí)行的標(biāo)準(zhǔn)是國(guó)內(nèi)機(jī)械鎖執(zhí)行的標(biāo)準(zhǔn)為《 GA/T 73-2015》,其中明確指出中國(guó)機(jī)械鎖分為ABC三個(gè)等級(jí),等級(jí)之間的差異在于開啟時(shí)間的長(zhǎng)短。
“沒有絕對(duì)安全的鎖具,只有鎖具的抵抗能力強(qiáng)弱。”業(yè)內(nèi)專業(yè)人士對(duì)消費(fèi)者建議,雖然價(jià)位高的門鎖并不一定能代表性能好、安全級(jí)別高,但價(jià)格便宜的門鎖,存在核心算法簡(jiǎn)單、誤識(shí)別率高、鎖體強(qiáng)度低等風(fēng)險(xiǎn)的概率較大,綜合各方面情況來看,消費(fèi)者在購(gòu)買智能門鎖時(shí)要盡量選擇知名品牌。