現在的指紋解鎖，桔子皮就能解？放心，沒那麼簡單！

最近新聞上說現在的指紋解鎖存在很大的安全漏洞，不禁讓人擔心起來。桔子皮就能解鎖手機？

用桔子皮解鎖手機，能成功，但僅在實驗室場景下，且滿足一系列條件才能成功。因為需要機主大量的配合，在現實場景中實現的難度極大，而且犯罪成本很高。所以當段子講講可以，不必因此恐慌。

指紋識別真安全嗎？ 記者體驗簡單技術處理後橘子皮成功解鎖

一、手機指紋解鎖的2個常見誤區

本質上講，能做到用桔子皮解鎖手機指紋，有2個核心原因：

1，手機的指紋識別通過的匹配度並非100%；

2，手機的指紋模塊是動態更新的；

這2個原因都是手機廠商為了讓指紋識別更流暢所做優化導致的。展開來說：

1，匹配度

你在手機上通過指紋解鎖，是將你當下的指紋和你此前輸入到手機里的指紋模板做對比。

那麼問題來了，是不是匹配度必須是100%才能解鎖？

並不是。因為如果是這樣，那指紋解鎖的體驗會非常差。按指紋時，場景會各種各樣：手上有汗、指紋接觸的位置，如果每次都需要100%才能解鎖，估計得按很多次才能實現。

所以多數廠商選擇的方案是，只要匹配度達到一定閥值，即可解鎖通過。

2，指紋模板

手機里存儲的，用作對比的指紋模板，並不是一成不變的，而是根據用戶的解鎖，不斷更新的。這個思路和蘋果的FaceID是一致的，一開始要先錄入，隨後每次通過校驗時，也會在後台更新。

指紋解鎖的這2個優化都是為了讓解鎖過程更流暢，且不會對安全性造成較大影響（具體理由下一節解釋）。

二、桔子皮解鎖的原理

那桔子皮怎麼解鎖的呢？得事先在手機的指紋感測器上，貼上一層薄膜，薄膜上一部分區域畫一些模擬指紋的圖案，比方說40%的區域，剩下60%的區域空著。

這就相當於，用戶再進行指紋解鎖的時候，只錄入了60%的真實指紋信息，剩下40%的，是薄膜上模擬指紋的信息。

只要這款手機的指紋識別匹配度閾值低於60%，那麼用戶就能解鎖成功。與此同時，系統會誤認為用戶的指紋信息有變動，於是開始慢慢更新指紋模塊，將40%模擬指紋信息逐漸更新為新的對比模板。

這樣一段時間後，手機里存儲的用於對比的指紋模板，就變成：60%的用戶真實指紋信息+40%的薄膜模擬指紋信息。

如果這款手機的指紋識別匹配度閾值低於40%，那麼薄膜里的模擬指紋信息就能成功解鎖。這時剩餘的60%，是用桔子皮，還是香蕉皮就都不重要了。

三、這是一個需要擔心的漏洞嗎？

完全不用擔心。雖然在實驗室能驗證成功，但其實普通用戶完全不用擔心，因為在現實場景下，通過這種方式進行攻擊的可能性低到幾乎沒有。

如果壞人想通過這個辦法偷你手機里的資料或錢，需要以下一系列操作：

1，先偷到你的手機；

2，測試出你手機指紋識別的閾值；

3，在你的手機指紋識別感測器上貼上薄膜；

4，偷偷把手機還給你；

5，你沒有感覺到你的手機指紋識別感測器上被貼了一層膜；

6，等一段時間；

7，再次偷到你的手機；

別的不說，僅第5步，就幾乎不可能實現。自己手機按指紋的地方，有沒有被貼膜，這個正常用戶第一時間就能發現。畢竟指尖是人類感覺最靈敏的地方之一。

此外，更重要的是，這種攻擊，時間成本極高，且只能針對身邊的人，事後也非常容易被發現。尤其是如果想偷錢的話，手機支付，很容易追蹤到錢到哪裡去了。

所以換句話說，這不會成為黑產攻擊的手段。對於絕大多數用戶而言，這個事情的危害遠遠，遠遠小於點了來歷不明的鏈接。

四、怎麼做

對於用戶而言，總的來講，這不是普通用戶需要擔心的問題。如果硬要有什麼安全提醒呢，

1，手機很重要，別亂丟（廢話）；

2，手機上出現了奇怪的薄膜，記得撕掉（這不廢話嗎）；

3，手機的指紋識別功能異常時，記得去修（好像還是廢話）

對於手機廠商，倒也不是沒有優化的空間。比如，對於指紋模板更新，可以做的更細化一些，如果檢測到特徵不一致，可以先和已存在的指紋模板進行比對，如果特徵變化明顯，就不更新模板底庫等等。

最後，說句實話。以這種攻擊的時間成本之高，攻擊之後被抓住的可能性之大，以及你的攻擊價值之低，完全不用擔心。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！