iPhone 发布会上强调自己的指纹读取存放是多么多么的安全可靠。好奇国内安卓厂商是怎么处理用户的指纹的,跟 iPhone 的指纹安全级别相比怎样?是采用的原生 Android 的指纹机制吗?尤其小厂(销量相对小很多)一加、锤子之类的。
1
orochix 2018-09-13 16:07:24 +08:00 via Android
苹果公司有钱有关系,FBI 都可以配合演出。天下乌鸦一般黑,只是有的乌鸦个头大,所以大家认为他是只鸵鸟。你让国安配合
|
2
yukiww233 2018-09-13 16:12:22 +08:00
存储在 TrustZone 芯片配合实现
|
3
zhouquanbest 2018-09-13 17:49:32 +08:00 via Android
能用微信和支付宝的 安全系数就够了
|
4
puga2006 2018-09-13 18:27:11 +08:00
这是手机厂商的机密吧,都签了保密协议的。
|
5
pkoukk 2018-09-13 18:28:53 +08:00
新版本的安卓强制规定的指纹存储的位置,配合芯片实现,和常规系统和存储是隔离的
|
6
xiyuemu 2018-09-13 18:37:17 +08:00 via Android
一样的技术。硬件供应商都是一样的。
|
7
CommandZi 2018-09-13 18:45:46 +08:00 5
@orochix 关于 TouchID 的白皮书 https://www.apple.com/cn/business/docs/iOS_Security_Guide.pdf ,关于 FaceID 的白皮书 https://www.apple.com/business/site/docs/FaceID_Security_Guide.pdf
你要是觉得苹果公司是乱搞的,拿证据出来。杠精都是没有证据,张嘴就来。 |
8
imn1 2018-09-13 18:52:40 +08:00
肯定是硬件,而且不能离开设备备份的吧,不知道,我不用各种云备份
我个人给的意见是,指纹只是方便,确实很方便、非常方便,但其实不安全,不要有指纹识别安全的错觉 我玩过,让同事去淘宝买磁粉,也叫指纹粉,用透明胶在他杯子上提取了指纹(技术不够,试了多次才成功),不过我没在他手机上试,然后告诉他们在大学就玩过了,同事们都怕了我,2333 |
10
liuli008 2018-09-13 19:13:50 +08:00
IFAA 联盟
|
11
Flobit 2018-09-13 19:35:29 +08:00 via Android
没有绝对的安全,现在这社会人人都在裸奔,只是大家不愿意承认吧
|
13
NotreDame OP @WuwuGin 其实我想问,那个区的信息能不能被拿到,拿到后又能不能被破解。因为苹果一直说:就算拿到了也无法还原真实的指纹信息。
|
14
WuwuGin 2018-09-13 21:50:46 +08:00 via Android
@NotreDame 那个地方也不会存指纹本身的,倒是有可能会有漏洞在你接触传感器过程中劫持指纹图像。
|
15
mintist 2018-09-13 22:08:16 +08:00 2
首先,存储的是指纹的特征点,而不是指纹图像,而特征点你可以认为是指纹图像的某种哈希值(这个大家都是程序员应该都懂),是无法通过指纹特征点反向推出指纹图像的;(这也是为什么苹果说就算拿到了也是没有办法还原指纹信息的原因)
另外,指纹特征点数据的存储不管安卓( TEE,可信赖执行环境,是第三方机构做的,和厂商没有关系,其中要用到的硬件存储模块是 TrustZone )还是苹果(不太清楚),都是有一套机制保证的; 所以,据我所知目前国内主流厂商(除非没有名字的山寨)都是采用 TEE 来对指纹进行管理的,所以是很安全的(因为和厂商无关),另一方面,这个问题一旦出现是非常严重的,只要有牌子的厂商就不会在这一块动手脚。 |
16
NotreDame OP @mintist 感谢解惑。其实我就是不知道类似包含指纹信息的某种哈希值会不会被高手\黑客团队破解开来。倒不是多么信任苹果,而是说起码人家在发布会很有底气的说我们的指纹是多么多么的安全,一水的安卓厂商没有一个(可能我孤陋寡闻了)在发布会上提指纹存储及安全的问题,而全是“我的解锁速度比**快**毫秒”。所以,惭愧的是,指纹安全问题是阻挡我使用安卓的很严肃的一点。。。
|
17
lscho 2018-09-14 01:21:45 +08:00 via Android
@NotreDame 存在被破解的可能,但是就算破解也只能得到指纹的特征码,而不是图像。。通过特征码是无法还原出图像的。。
|
18
arthasgxy 2018-09-14 01:29:56 +08:00
|
20
greatghoul 2018-09-14 08:37:14 +08:00 via Android 1
安全也是存在贵州,有个屌用
|
21
honeycomb 2018-09-14 08:59:57 +08:00 via Android
指纹一般是放心的,苹果怎么处理,其它的手机也怎么处理。
有人(好像是 chainfire )解释过 pixel 2017 处理全盘加密( fbe )的流程,软件和硬件的密钥生成器都会用到。 |
22
feng1234 2018-09-14 09:37:29 +08:00
Tencent SOTER 了解下,目前 90%的国内安卓机出厂都内嵌了这个服务
|
23
zhaoxiting1997 2018-09-14 09:49:29 +08:00
很老以前的 Android 6.0 自制 ROM 上见过有指纹 Hash 直接存在一个文件的,可能因为没有 TrustZone 的驱动。8.0 以上基本全部存在 TrustZone 了。不清楚楼主担心的是什么,如果担心被获取指纹图像的话,未 ROOT 的 Android 上没有可能,ROOT 后改指纹驱动之类的或许存在可能,Android 系统层面读不到指纹图像,就算挂 Xposed 也没有,或许挂 Xposed 能获取到指纹 Hash。另外如果有物理接触手机获取指纹图像的最好方法是从触摸屏或者手机表面去提取,而不是想办法去读指纹芯片。。。
|
25
NotreDame OP @zhaoxiting1997 OK,我开始担心的就是获取特征值能不能逆读取到原始 or 可用的指纹信息。
|
26
Bown 2018-09-14 11:00:55 +08:00
跟微信负责指纹支付的朋友聊过,说是 Android 指纹相关 API 都不安全,所以微信和各手机厂商深度合作搞了 soter 这个平台,https://github.com/Tencent/soter
|
27
toinmyfree 2018-09-14 11:25:39 +08:00
android 8.1 系统过了 GMS 验证机器,只要涉及了人脸,指纹,都必须添加 TEE 的,这个比<8.1 的安全会有提升额。。。
|
28
passerbytiny 2018-09-14 18:21:12 +08:00 via Android
@NotreDame 如果是这点,不用担心,类似 md5 这样的非对称加密就能保证,技术门槛极低。你需要考虑的只是你要不要信任厂商。
|
29
Stain5 2018-10-04 20:00:47 +08:00
苹果的指纹机制是由传感器读取后把数据发送到一个与系统隔离的专用处理器上处理 ,专用处理器判断完后再返还给系统结果。
|