這個(gè)移動(dòng)互聯(lián)網(wǎng)的世界究竟有多不安全？看看你自己的手機(jī)就知道了。

　　近日，一則關(guān)于Android系統(tǒng)智能手機(jī)指紋識(shí)別功能的巨大漏洞被曝光，再次引發(fā)了人們對(duì)于移動(dòng)安全的關(guān)注。同時(shí)，這一事件是否會(huì)對(duì)國(guó)內(nèi)的手機(jī)用戶造成影響，也是輿論爭(zhēng)論的焦點(diǎn)。

　　事件緣起于本周在美國(guó)洛杉磯召開的黑帽安全技術(shù)大會(huì)（BlackHat），兩名來(lái)自中國(guó)的程（Hei）序（Ke）員利用Android系統(tǒng)安全漏洞攻破了其指紋識(shí)別功能，并順利竊取到了用戶的指紋信息?，F(xiàn)場(chǎng)展示的機(jī)型包括三星的GalaxyS5和HTCOneMax。

　　據(jù)上述人士表示，在本次攻擊中，漏洞源于Android系統(tǒng)的安全構(gòu)架問(wèn)題和原始設(shè)備制造商創(chuàng)建的遠(yuǎn)程支持工具的缺陷。用戶的指紋數(shù)據(jù)會(huì)直接落入攻擊者的手中，“只要受害者還活著，攻擊者就能肆意利用其指紋信息做壞事”——移動(dòng)支付、設(shè)備密碼、身份、甚至非法移民和犯罪。同時(shí)，該漏洞也會(huì)涉及到不少高端筆記本電腦的指紋傳感系統(tǒng)。

　　據(jù)悉，由于很多設(shè)備制造商并未完全“鎖定”其指紋支付系統(tǒng)，因此攻擊者可以在神不知鬼不覺的情況下從被感染的設(shè)備上偷走指紋信息。

　　指紋解鎖被黑 三星谷歌如何自證清白？

　　好在對(duì)此，谷歌和三星官方已做出回應(yīng)，并表示將修補(bǔ)這一漏洞：

　　谷歌：“感謝研究人員提出的問(wèn)題，這鞭策我們進(jìn)行改善，這個(gè)問(wèn)題Android手機(jī)廠商已經(jīng)解決并提供更新補(bǔ)丁。希望大家使用可靠的應(yīng)用程序來(lái)源，比如說(shuō)GooglePlay?！?/p>

　　三星：“感謝用戶的信任，并使用我們的產(chǎn)品和服務(wù)。我們意識(shí)并了解到問(wèn)題，并已經(jīng)提供了解決方案，希望大家不要安裝不可信的應(yīng)用程序。”

　　在國(guó)內(nèi)，目前已有多家手機(jī)廠商在自家的產(chǎn)品上添加了指紋識(shí)別功能，已經(jīng)發(fā)布的包括華為Mate7及榮耀7、中興AXON天機(jī)等。那么，他們是否也會(huì)在此次事件中躺槍呢？

　　中興技術(shù)人士向筆者表示，AXON天機(jī)的指紋數(shù)據(jù)是存儲(chǔ)在其內(nèi)核芯片的TrustZone區(qū)域的，這個(gè)區(qū)域與Android系統(tǒng)及其他硬件環(huán)境“完全隔離”。所以，黑客即便攻破Android系統(tǒng)也是無(wú)法進(jìn)入TrustZone獲取用戶的指紋圖像。

　　指紋解鎖被黑 三星谷歌如何自證清白？

　　而在此前，華為也對(duì)其指紋識(shí)別功能做出了公開說(shuō)明并稱其是一套基于芯片硬件的安全解決方案：指紋加密、存儲(chǔ)、校驗(yàn)的程序是運(yùn)行在海思芯片里物理隔離的安全OS中，安卓環(huán)境下的程序無(wú)法直接訪問(wèn)，即使手機(jī)被root后，這部分仍然不能被訪問(wèn)和篡改。同時(shí)，手機(jī)并不會(huì)保存指紋圖像，只保存經(jīng)過(guò)提取后的模板信息，通過(guò)指紋模板并不能還原出指紋圖像。

　　需要指出的是，谷歌在AndroidM系統(tǒng)中才加入了原生的指紋識(shí)別功能，當(dāng)前各大手機(jī)廠商所搭載的上述功能多為自行研發(fā)或使用第三方技術(shù)。而國(guó)內(nèi)目前的指紋識(shí)別功能基本來(lái)自通用的解決方案，即基于ARM芯片上面的TrustZone區(qū)域，控制指紋區(qū)域的系統(tǒng)與Android系統(tǒng)相互獨(dú)立，并只為Android程序提供指紋正確或錯(cuò)誤的信息。

　　目前從官方口徑上看，此次漏洞對(duì)國(guó)內(nèi)的設(shè)備貌似沒有太大影響。

　　當(dāng)然，各位也不必太過(guò)緊張。一方面，這一漏洞的曝光來(lái)自黑客大會(huì)的演示，谷歌一般會(huì)很快修復(fù)這類漏洞。而另一方面，目前市面上支持指紋識(shí)別功能的Android智能手機(jī)還并不多，故其造成的影響也許還不會(huì)太大。

　　但是，已有預(yù)測(cè)報(bào)告指出，到2019年，全球?qū)⒂幸话氲闹悄苁謾C(jī)裝載指紋傳感裝置，屆時(shí)來(lái)自個(gè)人信息安全方面的威脅將大大增加——相比于傳統(tǒng)密碼，指紋識(shí)別雖然在理論上更安全，但一旦失竊所造成的影響可能更嚴(yán)重。對(duì)于前者，你可以通過(guò)更換新的更復(fù)雜的字母數(shù)字組合提高安全性；而對(duì)于后者，你總不能為手指去做個(gè)整形手術(shù)以錄入新的指紋吧？

　　至于怎么預(yù)防，則還是老生常談：去靠譜的渠道下載APP，沒事兒別ROOT。

　　說(shuō)了半天，一直都在說(shuō)Android設(shè)備，蘋果的呢？好消息是，對(duì)于iPhone和iPad用戶，截止目前，黑客們還未攻破iOS系統(tǒng)的TouchID。