部分廠商已被國家質檢總局約談 華為稱正與產業鏈合作夥伴一同制定修復計劃

僅僅貼一張膜，就可能讓手機指紋鎖形同虛設，涉及的手機品牌幾乎包括所有主流國產手機廠商。

從2017年10月末到12月初，《IT時報》連續多篇文章，獨家報道了手機指紋晶元漏洞所引發的安全問題。本周記者發現，此前報道中提及的幾款機型尚未拿出針對指紋漏洞的解決方案，手機依舊可以被「秒解」。而由此引發的手機安全問題，已經引起相關部門的高度重視。

《IT時報》記者聯繫了數家廠商，華為方面稱已經與相關監管和標準部門積極溝通，並正在和產業鏈合作夥伴一同制定修復計劃。同時華為提醒用戶，應建立起必要的安全意識，避免手機被惡意解鎖。

■IT時報記者 戚夜雲

漏洞仍未修復

為了讓手機指紋晶元的尺寸更小，目前指紋晶元普遍採用全圖像比對演算法。簡單來說，就是註冊時將指紋存儲為圖像，解鎖時系統將需識別的圖像與錄入圖像進行比對，圖像一致即可通過。

但由於指紋圖像根據按壓的力度、手指的乾濕度等情況不同，會導致按壓時圖像有所差異，所以全圖像演算法的一大特點是擁有自學習功能，也就是說指紋晶元要不斷學習新的特質、更新圖像以保證識別通過率。

不過正是因為自學習功能的存在，為手機安全留了一道暗門。只是簡單的利用膠帶，將人為成像黏附在Home鍵上，手機就可以「人人可解」，華為、小米、OPPO、vivo等這些國產手機一線品牌的主流機型全部中招。

2018年1月中旬，上述報道見報一個月後，記者將四款手機的系統升級到最新版本後，再一次進行相同測試。無一例外，四款機型均能秒被破解，然後「人人可解」。

那麼在這段時間，手機廠商採取了哪些補救措施？記者為此聯繫了華為、小米、OPPO、vivo和指紋晶元供應商匯頂科技。華為對此進行了回應，另外幾家廠商在截至記者發稿前尚未給出回應。

華為表示，指紋解鎖作為一項已經得到市場普遍認可的相對成熟的安全技術，消費者對此不必太過恐慌。

在傳統指紋晶元行業深耕十多年的上海圖正董事長劉君表示，一個月時間可能太短。「修補漏洞，其實是產業鏈的問題，並不是說單手機廠商就能完成，歸根結底應該是演算法廠商進行主導。而且手機廠商的指紋晶元供應商不止一家，將問題修正過來的確需要一定的周期。」

據業內人士透露，小米、OPPO正在積極推動事情的解決，但仍有相關手機和指紋晶元廠商反應較慢。劉君認為，應該正確去理解指紋安全方面的漏洞，「不需要將漏洞嚴重化，但要積極應對並加快解決。」

指紋識別標準制定中

一名業內人士向記者透露，華為等手機廠商已被國家質檢總局約談，被要求在限定期限內整改，並表示將來將指紋晶元安全問題納入手機生產質量監管內。記者為此致電質檢總局求證，但在截稿前未得到回復。

記者同時獲悉，在之前由全國信息技術標準化技術委員會(簡稱「信標委」）舉行的相關會議上，指紋晶元漏洞引起了大家的重視。與會人員透露，「信標委」曾在內部徵詢意見，形成了《移動設備指紋識別應用安全問題分析與標準制訂現狀》報告。這份報告內容顯示，暴露出的指紋晶元安全問題不僅僅是移動設備終端廠商對指紋識別安全性不夠重視，而且移動設備指紋識別標準制訂也相對滯後，設備廠商對移動設備中還存在的安全風險缺乏系統性分析和預防措施。此外，相關廠商標準化意識淡薄，而且因為缺少監管措施與檢測手段，各廠商缺少統一的檢測標準，檢測方法和手段有缺陷，這些都是導致當下手機指紋晶元存在漏洞的原因。

據了解，有關指紋識別技術的相關標準正在推動制訂中，中國電子技術標準化研究院已經搭建了指紋識別產品的標準驗證平台，能夠對指紋識別產品進行標準符合性測試和功能性能測試，同時針對目前存在的安全性問題，實驗室也在搭建平台進行深入研究。

華為方面則表示，已經與相關監管和標準部門積極溝通，並正在和產業鏈合作夥伴一同制定修復計劃。同時華為表示，任何安全技術都不是絕對的，提醒用戶保持良好的使用習慣，保持手機在視線或控制範圍內，在解鎖指紋時注意指紋按鍵處是否有膜等異物存在。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！