文/记者 何从 编辑/陈永杰 供图/视觉中国

采访专家

侯安山（中国法医学会科普部主任、公安部刑侦专家）

李扬渊（苏州迈瑞微电子有限公司董事长、首席技术官）

手指轻轻一按手机就解锁，不需要每次都输入密码。有了指纹识别功能后，手机用户再也不会为忘记密码而担心了。靠指纹解锁、支付也早已经成为日常生活中的一部分。

不过近日，一段名为“手机指纹惊天漏洞贴一层膜就能解锁”的视频在网络上热传。

在视频中，操作人员先准备一小截透明胶带，并在胶带上用导电笔涂上导电涂层，然后把这截胶带贴在手机指纹解锁按键上，机主先用自己的手指解锁几次后，其他任何人的手指，甚至橘子皮都可以解锁这台手机，甚至用于支付了。

自从苹果iPhone 5s引入指纹识别后，轻轻一触，便能解锁、登录App、完成支付的指纹识别功能广受市场欢迎。然而这段视频展示出来的是，指纹锁安全如同一层纸，轻轻一捅便破了。

扫描二维码，观看 “手机指纹惊天漏洞
贴一层膜就能解 锁”视频

芯片把指纹和胶带图都存储

也许就在你不经意之间，你的手机里已经潜伏进了这样一个“间谍”，当你还以为自己的手机因为指纹而固若金汤时，其实它已经成了一个谁都能开的锁。用导电笔，事先在指纹贴上画上几笔就行，只要贴了这层膜，手机都可以解锁?这是怎么回事呢?

披露本次漏洞的苏州迈瑞微电子有限公司董事长、首席技术官李扬渊告诉北京科技报记者：“目前市面上大多数手机应用的都是电容式指纹的芯片，这使用的是半导体基材，通过一定工艺加工出来芯片，并通过模组制程将芯片包装成一个指纹模块，最终安装固定在手机正面或者背面。”

对于手机指纹解锁的原理，李扬渊解释说：“大家将手机设置成为指纹解锁的模式，是通过在手机上首次录入指纹时，在手机本地芯片数据库里保存指纹图案。大家解锁手机时按下手指后，就与事先在手机本地数据库里的图案进行多次对比，机器确认两者图案大致相同后就会成功解锁。”

现在大部分智能手机指纹传感器都有自学习功能，把贴了导电图案的胶带黏在手机上，这样在手指解锁中，传感器识别了小部分机主指纹成功开机。胶带上的图案虽不是指纹，但手机同样会把它输入数据库芯片，又形成一个新的图案加机主指纹的解锁图像。当其他人使用时，只要识别到那个有机主指纹部分的图案就可以解锁。

究其根本，这个致命问题在于指纹识别只要保证部分纹路正确就开锁。而至于制造商为什么要降低手机指纹的识别度，这在李扬渊看来，可能是考虑客户的舒适度。“识别度低，解起锁来成功率高，客户用起来也更方便。而且这个问题不仅仅存在手机领域。在安防上，很多指纹门锁只要贴上一层膜，同样可以轻松被开启。”

李扬渊表示，“其实现在的手机指纹解锁方式，只是一种图像识别对比的解锁方式。它所依据是平面图像比对都存在一个概率问题，并不是百分百对比一致才验证通过解锁。因此只要通过一些方式让手机在识别指纹的同时，记住某些固定图案，就可以顺利通过该图案解锁这部手机。”

手机指纹系统有自学习功能

据李扬渊介绍，手机行业的指纹芯片普遍应用的是全图像比对算法，它的一大特点是拥有自学习功能。由于指纹图像根据按压的力度、手指的干湿度等情况不同会导致按压时图像有所差异，所以指纹芯片要不断学习新的特质、更新图像以保证识别通过率。

自学习功能的存在，虽然提高了各种情况下指纹通过率，提升用户体验，但同时也有巨大隐患。只要识别出图像一致的部分即可通过，而不会去分辨不一样部分是否为人为干扰图像。所以问题就出在机器判断这一环。

近年来，因为手机要求便携超薄指纹芯片普遍较小，全图像识别算法解锁速度快、通过率高、用户体验好，所以手机指纹芯片厂商普遍采用全图像算法。据李扬渊估计，至少上亿部手机都受这个“漏洞”影响，这可能是信息安全领域，全球范围涉及终端数量最大的一次安全事故。且并不是某一家指纹芯片厂商的问题，而是手机指纹芯片的行业性问题。

但同时李扬渊提醒大家不必过度惊慌。“芯片本身设计并不存在漏洞，其功能仅仅是为了采集图像，存在漏洞的是指纹识别算法。通过变更算法是可以去克服这个问题，但是算法变更是一个浩大的工程，需要一个团队甚至多个团队，通过不停地迭代研发才能有一个稳定的算法。”

转念想一想，这个“漏洞”看起来吓人，但要操作起来却不容易。因为必须事先在你的手机上贴一层膜，而且要在你还没发现的情况下解锁几次后，再把你的手机拿走，全部做到还是挺难的。

“虽然手机等产品几乎和用户寸步不离，被盗和动手脚的概率低。但是其他设备，长期处于无人看守状态，一旦用了不安全的技术，后果还是很严重的，比如智能指纹门锁。所以，我们在做产品设计时，要密切关注其安全性，避免给消费者带来人身和财产损失。”李扬渊强调说。

▲iPhone 5s 推出名为Touch ID指纹识别技术

指纹方式存在天生缺陷

其实早在1998年，手机厂商西门子就展示了自家的指纹识别手机，识别方式为刮擦式，它可以说是现在背部指纹识别手机的鼻祖，虽然只是一部没有量产的原型机，但是它向世界证明，手机搭载指纹识别的可能性。紧接着又有很多手机公司在指纹识别上进行研发应用，但是都没有将其发展壮大。

直到2013年9月苹果公司的旗舰机型iPhone 5s问世。这款机型添加了名为Touch ID指纹识别技术，在手机home键设置指纹识别传感器，不仅可以解锁屏幕，还可以在苹果公司旗下的应用商店进行App下载和在线支付验证等等。这一项新奇的技术引起了社会上极大的关注，此后手机厂商们纷纷效仿，越来越多的智能手机添加了指纹识别技术。

在众多的生物识别方式中，人脸、指纹、虹膜等是手机上已经量产使用的识别方式，技术相对成熟，应用场景也比较丰富。我们每个人的手指肚和掌面皮肤上，都长着凹凸不平的花纹。粗粗一看，好像各人的指纹长得一样。

“大家如果仔细观察一下，就会发现各人的指纹是有区別的，世界上还找不出指纹完全相同的人!指纹识别作为物证之王，本身的安全性非常高，要不然也不能作为公安机关的相关证据使用。”李扬渊说。

人的皮肤一般有表皮、真皮和皮下组织共三部分组成，而常说的指纹就是表皮上凸起的纹路。大致可以分为纹形、细节点、纹线上汗孔形态等三级指纹特征。由于人类基因遗传特性，所以每个人的指纹不相同，即使孪生双胞胎的外貌再相像，也可以通过验证指纹来对两人进行相互区分。人的指纹具有稳定不变性，一个人从出生到死亡，除非是经过特意破坏，否则他的指纹不会发生变化。

指纹识别技术相对成熟。在当前应用也较为广泛，但中国法医学会科普部主任、公安部刑侦专家侯安山告诉记者，尽管指纹作为“密码”具有诸多优势，但也存在一些缺陷。“因为指纹是附着在柔软的且有一定弧度的手指腹上，在指纹采集器上捺按时，指腹变成了一个平面，因按压的力度或角度不同，指纹图像均会发生变形。另外，手指皮肤不同的磨损程度、伤痕或者手指泡水后的肿胀或皱缩变形以及有色液体的浸洇等因素，都会影响指纹识别的准确率。”

▲iPhone X推出面部扫描解锁功能Face ID

所有识别方式都非绝对安全

在众多的生物识别方式中，人脸、指纹、虹膜等等是手机上运用较成熟且常用的识别方式，技术相对成熟，应用场景也比较多。除此以外，人类身体上的很多生物信息和行为习惯，都可以用来识别，通过技术、传感器等等方法，识别方式可能有成千上万种。

侯安山表示，“目前已有的个人识别技术中，安全性最高的应该是虹膜识别。由于虹膜在人类胎儿阶段发育形成后，在人的整个生命历程中基本保持不变，所以虹膜识别的准确度高、唯一性强。但虹膜识别要求用户必须摘除眼镜，睁大眼睛，近距离对准传感器，会让人觉得有些麻烦，不够方便快捷。”

人类眼睛的虹膜属于眼球中层组织，即我们所称的黑眼球部分(其真实的颜色为深褐色和蓝色的混合色)，它位于眼球前段中央，血管膜的最前部，在睫状体前方，中央的圆形开口为可调节大小的瞳孔，起到调节进入眼内光线多少的作用。虹膜包含了丰富的纹理信息，很多相互交错的纹线、斑点、细丝、隐窝等细节图像特征，这些元素构成了个体生物识别的物质基础。

虹膜复杂的细节特性让伪造也变得几乎不太可能，可以说虹膜识别是目前最稳定、最准确、安全系数最高的生物识别技术。近年来虹膜识别在手机等业界领域受到关注。但据了解，当前一些厂商提供的虹膜识别技术，其实是很基础的图像识别技术，并没有专业领域的活体检测流程，只利用计算机对图像特征进行数据处理、分析。这样就可以使用高清的眼部特写红外照片，加上模拟眼球的隐形眼镜等手段进行破解。

此外，苹果2017年的新旗舰手机iPhone X上采用了名为faceid的人脸识别方式。人脸识别技术指的是通过比较人脸的视觉特征信息，从而进行身份鉴别的技术。其也是人工智能领域一项典型的细分技术应用。相比指纹和虹膜识别，人脸识别的优势在于便捷性比较好，不用被采集对象的配合，可以自主采集，采集场合也比较方便。

“人脸解锁的主体是人脸，而人脸不如指纹是一成不变的，睫毛、眼镜、口罩、发型以及外部光线都容易影响人脸特征，从而影响人脸的识别体验。单从体验来看，指纹解锁肯定是比人脸解锁来得方便一些。”李扬渊说道。

▲富士通推出人眼虹膜识别原型手机， 眨眨眼就能解锁。

生物识别让人机交互和链接

包括指纹解锁、人脸解锁在内的一系列解锁方式都属于生物特征识别。生物识别就是通过计算机与光学、声学、生物传感器等高科技手段密切结合，利用人体固有的生理特性和行为特征来进行个人身份的鉴定。其有生理特征和行为特征两大类，生理特征是与生俱来的，比如指纹、虹膜。行为特征是后天习惯使然，比如写字签名的笔迹，等等。

目前指纹识别已在智能手机上普及，随着手机全面屏的兴起，及三星、苹果等厂商的带动，新的屏内指纹识别、人脸识别、语音识别等技术也将成为智能手机的生物识别方式。与此同时，生物识别技术也在智能家居、无人超市等新兴领域得到了广泛应用。

比如包括人脸识别、指纹识别、语音识别在内的生物识别技术的成熟，正是推动近段时间大热的“无人超市”、无人零售快速爆发的幕后“黑科技”。此外，随着亚马逊Echo智能音箱的火爆，今年苹果、阿里巴巴、小米等众多厂商也纷纷入局。而智能音箱产业的火爆，同样也离不开语音识别、声纹识别等生物识别技术的助力。

研发指纹芯片多年的李扬渊表示，指纹识别发展这么多年，未出现类似前面提到的这样的安全性事件，若这种事件爆发，只能归结于部分厂商对指纹识别技术理解不够到位。“有时为了极端参数，却以牺牲整体安全性为代价。只有把安全作为第一位，同时对效果做极致优化，满足物联网的底层安全需求的基础上，才能为用户带来优异的使用体验。”■