手機指紋數據會被偷取嗎?
最近看到兩則網絡安全的新聞,一則是指現今的相機像素實在十分之高,一張舉起勝利手勢的照片其實已經有機會被人複製你的指紋;另一則就說去年有釣魚電郵假扮執法人員向蘋果和Meta索取個人資料。不禁令人聯想到我們現在最常用的生物認證——指紋,其實有沒有儲存在廠商的伺服器呢? 如果他們發生資料外洩的事故,那我們的生物認證也會被偷走嗎?
其實早在古代已經開始利用指紋作為認證用途,而第一部有指紋掃描的手機則約在二十年前出現,直到十年前左右才開始被廣泛利用。在我們了解手機廠商怎樣處理我們的指紋之前,我們先去了解一下現在有哪幾種常用的指紋識別方法。
1. 電容指紋
電容式指紋掃描器在智能手機領域很常見,不需要光線即可運作,其使用的技術類似觸摸屏中所應用的技術。簡單來說,是掃描區域使用電容器陣列電路並檢測電荷變化的區域。手指紋路的高低起伏會導致二者之間的壓差出現不同的變化,因此可實現準確的指紋數據掃描。這種指紋識別方式比較常見,因為它所佔用的空間比較小,較方便在手機上應用。
2. 光學指紋
光學指紋掃瞄在很久以前就被應用,不過一開始並沒有使用在手機上,多是用在打卡機或者指紋門鎖上。光學指紋掃描器使用光來創建指紋的光學圖像,在掃描器內部有一個三棱鏡,只要將手指放在它的一個面上,光源通過其中一個相鄰的面照射進來,然後光線反射並通過另一面射出,擊中光傳感器。其實光學指紋識別和2D的人臉識別背後的技術原理是相同的,相當於用相機把指紋的紋路拍下來變成數據,然後每次識別解鎖的時候,都與照片作對比。論其安全性就要稍微弱一些,因為你可以用指紋的照片來騙過螢幕指紋識別,過往就有不少在公開場合示範如何破解的例子。現時新的門鎖也逐步淘汰光學指紋的技術了。
3. 超聲波指紋
超聲波指紋掃描器是當你的手指放在掃描器區域時,會發出聽不見的高頻率聲音,當聲波反彈回傳感應器時,就會進行測量。因為指紋表面凹凸不平,所以能夠建立一個3D指紋的模型。傳感器會分析哪些聲波首先返回,並據此製作指紋圖譜。超聲波指紋識別與電容式、光學式指紋都不同,因為超聲波具有穿透性,能發出特定頻率的超聲波掃描手指。
了解過後,相信大家都知道不同的指紋認證方式,只是用不同的方法把指紋變成數據儲存起來然後進行對比。哪麼我們的指紋數據其實有沒有上傳到供應商的伺服器? 答案是沒有的。指紋只會儲存在手機內,而且以不同於一般資料的方式處理,會被儲存在主處理器的安全區域——可信執行環境(TEE)。
TEE 是手機硬件中一個獨立的隔離區域,既可以使用自己的處理器和內存,也可以使用主 CPU 上的虛擬化實例。在這兩種情況下,TEE 都使用硬件支持的內存和輸入/輸出保護完全隔離和絕緣。你進入的唯一方法是 TEE 允許你進入,可是它永遠不會允許。即使手機已植根或引導加載程序解鎖,TEE 也是獨立的並且仍然完好無損。簡單來說,就是有一個隔離的區域,沒授權的代碼並不能在該區域執行。
以Android 為例,當你在 Android 手機上註冊指紋時,傳感器會從掃描中獲取數據,並在TEE 中分析這些數據,然後創建一組驗證數據和一個加密的指紋模板。你幾乎不可能獲取相關數據,即使可以,如果沒有辦法破譯它也是無用的。
目前市面的品牌都有公開自家手機所採用的TEE 名稱,例如蘋果手機是Enclave,Google 則是Trusty。 廠商雖然做足保護設施,但若然你遇到不太可信的認用程式或設備時,就不要隨便交出你的指紋了。另外假如你有不同的手機也可以考慮用不同的手指來進行驗證。雖然現在未有偷取指紋的事故發生,但防範於未然也是一個要培養的習慣。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cyberser Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
