夜雨聆风很多手机用户就担心储存在手机内的指纹信息被其他App窃取,害怕遭受资金方面的损失。有这种担心是正常的,但也是多余的,本期文章就跟大家聊聊与手机指纹信息存储有关的知识。
什么是指纹信息?
在传统认知中,多数用户认为存储的数据是固定的,比如一张图片、一段文字,或者一则视频。但实际上并不是这样,文字、图片或视频类数据,是经过转换后生成的,而指纹信息也是如此。
虽然它存储在手机内,但绝对不是一张照片那么简单,更不会是一段简单的文字或清晰的视频,而是一组根据用户指纹特征生成的"数学表达式"。
这么说,可能很多用户听不明白,简单点儿说,这就好比把你的指纹扔进一台碎纸机,吐出来的是一串独一无二的编号,比如"XJ28-9F7A-3D"。这串编号只能从你的指纹产生,但拿着这串编号谁也拼不回你的指纹。
当然了,这只是举例说明。当我们用手机采集指纹时,实际上是采集模块在记录指纹特征,包括但不限于指纹样式、分叉点布局、断点、端点的分布及位置、孔洞的大小和弧线等等,基于识别技术的不同,模块会采集并记录几十到几百个不同的特征点。
这些特征点会被转换成一组具有唯一性的数学向量(一组数据字符串儿),在这组字符串儿生成之后,指纹的原始图像会被清除,而储存在手机内的这组字符串儿,就是自己的指纹信息。
指纹信息的安全问题
在前面提到,指纹信息只有在被采集时才会被以图像的形式保存下来,在对应的字符串儿生成以后,原始图像会被清除,但这只保证了原始图像不会被盗取,字符串儿的安全问题如何被保护起来呢?
其实方法很简单,要知道厂商拥有手机的绝对控制权,厂商制造手机时早就想到了这点,会在手机的内存里单独留出一个“隔离区”,俗称“黑匣子”,基于厂商的不同,叫法略有差异,但大体用途是一样的,比如苹果手机的Secure Enclave、华为的TEE OS等。
这类隔离区采用的是物理隔离手段、且不会与任何网络存在通信行为,唯一保留的就是验证请求和读取权限。比如我们使用某个App进行指纹验证,此时并不是App直接读取指纹信息,而是App向隔离区(指纹信息存储模块)发出指纹验证的请求,隔离区收到请求以后,会对接收到的指纹信息进行验证(与存储在隔离区内的数据进行对比),验证后只会给出“相同”或“不同”的答案。
在接受验证通知、验证对比、结果反馈的整个过程中,隔离区并不会向任何App开放,哪怕是手机的系统也没有访问权限。
最重要的是,这些包含指纹信息的字符串儿只保存在本地(前面提到了,不联网),如果用户重置或销毁它,那么它就永远无法被恢复。
说的绝对一点儿,储存在手机内的指纹信息哪怕不是100%安全,但想要读取也不是那么容易的,如果搭配上额外的防暴力破解策略,破解的可能几乎为零。
另外,“指纹识别生成的字符串儿不是单纯的一组由数字、符号或字母组成(14325asdg……%¥……&*……),而是一组包含了坐标、方向、类型、曲率等复杂信息的数据。”
是否有被窃取的可能性?
世界上就没有绝对安全的保护措施,如果有,那一定是没有找对方法,手机内存储的指纹信息也是如此。
如果想要破解手机内存储的指纹信息,必须要满足几个条件:第一,必须要拿到存储指纹信息的手机,因为指纹信息未联网、未上传云端,拿不到手机根本无法破解;第二,必须要掌握指纹识别编码技术,也就是将指纹转换成字符串儿的技术,但掌握技术不代表能够破解,这项技术通常是单项转换,破解难度极大;第三,获取相关访问权限,在前面提到了防暴力破解机制,如果破解者没有拿到权限,别说破解了,连尝试破解的次数都会被限制。
再说的直白一些,如果手机一直掌握在你手里,那么就相当于彻底断绝了指纹信息被窃取和破解的可能;如果手机不慎丢失,哪怕被对方拿去尝试破解,也必须懂指纹识别编码技术才行。如果不懂这些,仅凭市面上的越狱或ROOT手段,想要破解,那是白日做梦。
不过有一点还是要强调一下,现在市面上已经出现了组装机,这类手机都是杂牌机,哪怕拥有指纹识别功能,是否建立了安全的隔离区还不好说。如果是这类杂牌机,那么上述说的一切可能就是不成立的,但如果是知名的品牌机,比如vivo、OPPO、华为等品牌,那就不用太过担心啦。
至于手机被远程操控盗取资金的案例,其实与指纹识别信息的读取和破解没有关系,那些远程操控软件的技术含量特别低,别说是破解指纹信息,就是锁屏6位密码都没办法读取,之所以有很多用户被骗,是因为在开启远程控制软件的同时,骗子会用话术引导用户输入密码或进行指纹识别,而这才是问题的关键,骗子骗得是人,而不是手机。
结束语:说白了,手机指纹虽然被存储在手机内,但它存储的是“数学代码”,安全性贼高。哪怕某些人想要破解,在拿不到手机的情况下,仅凭一个App来破解,那是痴人说梦。而频发的远程操控骗钱事件,其实跟指纹破解没关系。骗子不是破了手机,而是骗你自己输入密码。记住:骗的是人,不是手机。
另外,像这种套路,有这能力破解的人不屑做这种事,没这能力的人也破解不了。
