手机指纹数据会被偷取吗?
最近看到两则网络安全的新闻,一则是指现今的相机像素实在十分之高,一张举起胜利手势的照片其实已经有机会被人复制你的指纹;另一则就说去年有钓鱼电邮假扮执法人员向苹果和Meta索取个人资料。不禁令人联想到我们现在最常用的生物认证——指纹,其实有没有储存在厂商的伺服器呢? 如果他们发生资料外泄的事故,那我们的生物认证也会被偷走吗?
其实早在古代已经开始利用指纹作为认证用途,而第一部有指纹扫描的手机则约在二十年前出现,直到十年前左右才开始被广泛利用。在我们了解手机厂商怎样处理我们的指纹之前,我们先去了解一下现在有哪几种常用的指纹识别方法。
1. 电容指纹
电容式指纹扫描器在智能手机领域很常见,不需要光线即可运作,其使用的技术类似触摸屏中所应用的技术。简单来说,是扫描区域使用电容器阵列电路并检测电荷变化的区域。手指纹路的高低起伏会导致二者之间的压差出现不同的变化,因此可实现准确的指纹数据扫描。这种指纹识别方式比较常见,因为它所占用的空间比较小,较方便在手机上应用。
2. 光学指纹
光学指纹扫瞄在很久以前就被应用,不过一开始并没有使用在手机上,多是用在打卡机或者指纹门锁上。光学指纹扫描器使用光来创建指纹的光学图像,在扫描器内部有一个三棱镜,只要将手指放在它的一个面上,光源通过其中一个相邻的面照射进来,然后光线反射并通过另一面射出,击中光传感器。其实光学指纹识别和2D的人脸识别背后的技术原理是相同的,相当于用相机把指纹的纹路拍下来变成数据,然后每次识别解锁的时候,都与照片作对比。论其安全性就要稍微弱一些,因为你可以用指纹的照片来骗过萤幕指纹识别,过往就有不少在公开场合示范如何破解的例子。现时新的门锁也逐步淘汰光学指纹的技术了。
3. 超声波指纹
超声波指纹扫描器是当你的手指放在扫描器区域时,会发出听不见的高频率声音,当声波反弹回传感应器时,就会进行测量。因为指纹表面凹凸不平,所以能够建立一个3D指纹的模型。传感器会分析哪些声波首先返回,并据此制作指纹图谱。超声波指纹识别与电容式、光学式指纹都不同,因为超声波具有穿透性,能发出特定频率的超声波扫描手指。
了解过后,相信大家都知道不同的指纹认证方式,只是用不同的方法把指纹变成数据储存起来然后进行对比。哪么我们的指纹数据其实有没有上传到供应商的伺服器? 答案是没有的。指纹只会储存在手机内,而且以不同于一般资料的方式处理,会被储存在主处理器的安全区域——可信执行环境(TEE)。
TEE 是手机硬件中一个独立的隔离区域,既可以使用自己的处理器和内存,也可以使用主 CPU 上的虚拟化实例。在这两种情况下,TEE 都使用硬件支持的内存和输入/输出保护完全隔离和绝缘。你进入的唯一方法是 TEE 允许你进入,可是它永远不会允许。即使手机已植根或引导加载程序解锁,TEE 也是独立的并且仍然完好无损。简单来说,就是有一个隔离的区域,没授权的代码并不能在该区域执行。
以Android 为例,当你在 Android 手机上注册指纹时,传感器会从扫描中获取数据,并在TEE 中分析这些数据,然后创建一组验证数据和一个加密的指纹模板。你几乎不可能获取相关数据,即使可以,如果没有办法破译它也是无用的。
目前市面的品牌都有公开自家手机所采用的TEE 名称,例如苹果手机是Enclave,Google 则是Trusty。 厂商虽然做足保护设施,但若然你遇到不太可信的认用程式或设备时,就不要随便交出你的指纹了。另外假如你有不同的手机也可以考虑用不同的手指来进行验证。虽然现在未有偷取指纹的事故发生,但防范于未然也是一个要培养的习惯。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cyberser Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
