回到頂端
|||
熱門: 段宜康 農藥 崩盤四國

到現在,你還認為Android上的指紋識別無意義?

app01/Jason Cloney 2015.04.26 00:00
如果要羅列今年可能會被重度加碼的一項手機新配置的話,那么指紋識別一定排在最前列的方隊。細數起來,目前包括摩托羅拉、蘋果、HTC、三星,以及國產中的華為、vivo、魅族、OPPO等都推出了指紋識別技術的手機,而除了一些后來廠商將繼續加碼這一技術之外,指紋識別也有著向中低端機型蔓延的趨勢。值得注意的是,就在昨天,小米被曝在國家知識產權局網站上公布了指紋識別設計方案,而且還申請了專利。553c8a476cc62.jpg但早在iPhone 5s的Touch ID引發了Android廠商的跟風后,就有人提出了這樣的問題——Android上的指紋識別有沒有意義?這聽上去是一個容易拉仇恨的問題,難道Android用戶就不是人了嗎?甚至包括廠商都不得不為之付出更多的口水來說明和解釋,但歸結起來,還是Android系統一貫以來較低的安全性所導致的,再經由指紋識別這么一個敏感的事物給放大,就變成了一個嚴峻的大問題。不給力的是,最具代表性的Android廠商三星在最近就恰好提供了一個反面教材,美國安全企業FireEye宣布三星旗下上一代旗艦S5上的指紋識別模塊存在漏洞,甚至已經有人可以通過破解使用Paypal實現轉賬付款。而企業同時還指出,基于Android 4.4的三星S5并不是個案——于是,又有人開始討論起了Android手機的指紋識別無用論。可事實真的如此嗎?指紋識別安全很重要,但應該從多維度考慮它雖然手機以不同系統和不同配置的區分,已經被打散成了一個龐大的樹狀圖,但在指紋識別的實現上,基本方式都是硬件基于ARM TrustZone技術,再加上軟件加密的方案。前者簡單來說就是ARM為了保護指紋、密碼信息所構建的一個安全體系,是一個獨立于SoC和所有軟件的隔離區的自主體系。包括iPhone上的Secure Enclave模塊和華為Mate 7的指紋模塊都是基于這一技術。553c8a3ccbb98.jpg至于軟件方面,廠商會采用不同的算法對指紋信息進行加密,例如魅族MX4 Pro采用的是AES 128多重加密算法,不過值得一提的是,使用三星處理器的MX4 Pro顯然不如華為和蘋果使用自家或定制處理器的模式安全,前者已經被曝出只要通過刷機雙清的方法就可以徹底刪除指紋識別——而這一點也是決定指紋識別安全性高低的參考值之一,畢竟只有達到硬件級別的指紋識別激活、處理和保密,才能算是相對安全的,除此之外,指紋照片也必須確保存儲安全,比如云端存儲就可能產生被盜用的風險。而Android設備的Root(以及iOS設備的越獄),都有可能徒增這種風險——但即便如此,也不能說明指紋識別就是沒有意義的,畢竟除了你的智能手機之外,世界上很多機密要地,也仍然采用的是指紋識別的方案,只不過它們通常由許多種安全措施配合在一起,使得總體的安全度提升到了很高而已——直白點說,世界上就沒有什么完美的安全措施,而指紋識別在當下也擁有著絕對的無可替代性。更別說,運用人體的一些生物體征進行加密的方式本身就是未來保護個人信息安全的一個主流趨勢,指紋識別在一定程度上是踐行這種趨勢的先行者,從這個角度上看,它不應該被過于排斥。想要推動行業發展,就離不開Android這塊大蛋糕雖然早在智能手機初期,摩托羅拉就推出了具備指紋識別模塊的Atrix 4G,但其真正被帶火也不過就是前年iPhone 5s發布之后,但由于蘋果使用的是它收購來的行業頂級企業AuthenTec家的技術,因此曾搞得一時間Android廠商都找不到能夠媲美前者按壓式的指紋解鎖方案商,只好大量使用滑擦式的指紋識別模塊,并且由于后者技術方面的問題導致模塊的體積通常都很大,無法安放在正面,于是前年包括去年上半年的多數指紋識別手機,都尷尬的采用了背部劃擦式的指紋識別方案。但不論怎么說,行業是被激活了,指紋識別模塊廠商參與不了蘋果的市場也沒關系,占據了80%多的Android用戶在翹首以盼呢,于是包括收購了Validity的美國Synaptics、瑞典FPC、挪威的IDEX、韓國的CrucialTec、國內的匯頂、思立微等等,都紛紛秣兵厲馬,多家目前已經開發出了正面的電容按壓式指紋識別,并被應用于諸如三星S6、魅族MX4 Pro等機型上。而在今年,指紋識別技術還將迎來新一輪爆發——從某種程度上它和許多之前的技術一樣,都是被iPhone帶火,然后借由Android發揚給全世界的。但要清楚,指紋識別只防君子而不防小人說白了,無論是一把五金鎖,還是家用防盜門,抑或是金庫安全體系甚至是盜墓小說里的各種機關,都是防君子而防不了小人的,指紋識別等各種科技安全手段從本質上來說,也亦如是。而且對于大部分人來說,他們需要指紋識別,不僅僅是為了移動支付而已,排在更前面的需求一般是指紋識別帶來的解鎖和驗證體驗,其次是它給用戶保護個人信息安全的一種信心,最后可能才是移動支付。而Android手機是否可以做到足夠安全?當然是可以的,指紋識別只是其中一道程序,介于手機不加密這種方便但不安全,以及加密了安全但不方便的中間值。而它對于安全的意義,并不在于它是全能且一定安全的,而在于它拉高了竊密和破解的成本,讓用戶不變的信息價值由于破解成本提升了而變得不再“實惠”——這才是指紋識別在“安全”上的普適意義。當然,隨著移動支付的發展,對于指紋識別以及其他人體生物識別,行業應該有所聯合,政府也應該出臺相關措施,以法律規范的形式來保護指紋識別技術的發展,畢竟這正好也是個促進公民信息安全和普及相關知識的好契機,而這樣的保護,也才是真正有意義的。

資料來源:雷鋒網

社群留言