手機(jī)指紋支付就不會(huì)有盜刷風(fēng)險(xiǎn)嗎？

時(shí)下，移動(dòng)支付已經(jīng)非常普及，從掃碼付款到銀行app轉(zhuǎn)賬均可在手機(jī)上輕松完成。為了進(jìn)一步提高便利性，生物識(shí)別技術(shù)被引入支付過程，幾乎完全替代了密碼輸入，成為時(shí)下最受歡迎的認(rèn)證方式。

就當(dāng)前來看，常見的生物識(shí)別包括指紋、人臉、虹膜、聲紋等。今天我們不談別的，僅針對手機(jī)最廣泛使用的指紋識(shí)別技術(shù)來說說，有哪些技術(shù)分支，以及它們是否真的可以保證我們的支付安全，因?yàn)橐坏┕テ屏酥讣y認(rèn)證，用戶手機(jī)當(dāng)中的大多數(shù)隱私和資金都會(huì)變得岌岌可危。

自從2013年9月蘋果公司發(fā)布iPhone 5s以來，手機(jī)指紋識(shí)別技術(shù)發(fā)展迅猛——從前置/后置的獨(dú)立指紋模塊，到現(xiàn)在科技感十足的屏下指紋，甚至部分手機(jī)已做到半屏甚至全屏指紋識(shí)別。

我們知道，人類指紋天生具備不變性和唯一性，特別適合作為生物認(rèn)證要素，而且這種一觸即達(dá)的體驗(yàn)，更是讓人產(chǎn)生很大的依賴性。

那么，當(dāng)今市場上主流的指紋識(shí)別技術(shù)都有哪些呢？總體而言，主要有四種：

（1）電容指紋。其原理顧名思義，即在一塊布滿半導(dǎo)體器件(器件密度決定識(shí)別精度)的平面模塊上，手指貼上去充當(dāng)電容的另一面，由于手指表面有凹凸不平的脊谷，凸出處和凹陷處接觸器件表面的實(shí)際距離就有差別，形成的電容值也就不一樣，設(shè)備將所有的電容讀數(shù)匯總構(gòu)成一幅類似沙盤的3D指紋采樣，與手機(jī)存儲(chǔ)的合法指紋記錄進(jìn)行對比給出匹配結(jié)果。

從以上電容指紋的原理不難看出，其采集的指紋數(shù)據(jù)是有深度信息的，或者說是三維的，而一般打印的平面指紋不具備立體特征，肯定無法騙過電容指紋，但真的就沒有辦法了么？當(dāng)然不是！

出于提高識(shí)別成功率的考慮，一般廠商都會(huì)在指紋識(shí)別當(dāng)中加入自學(xué)習(xí)功能，通過用戶日常使用的增多，不斷優(yōu)化指紋數(shù)據(jù)，并且適當(dāng)降低容錯(cuò)門檻，以便手機(jī)能夠在一些不太理想的情況下(比如手指按偏了一些、指尖覆蓋了一些汗水或污物)也能識(shí)別用戶的指紋。

這樣一來，就有好事者琢磨出一種旁門左道——利用手機(jī)自學(xué)習(xí)的特點(diǎn)，使用導(dǎo)電液筆涂抹透明膠布，貼在指紋模塊上(只遮擋一部分)，讓手機(jī)主人繼續(xù)指紋解鎖，結(jié)果導(dǎo)電液的圖案被優(yōu)化進(jìn)指紋特征數(shù)據(jù)，超過了相似度閾值，之后任何人隔著這個(gè)膠布用手指按壓指紋模塊，都可以順利解鎖手機(jī)。這就給手機(jī)用戶的個(gè)人隱私與資金安全帶來了隱患。

如何應(yīng)對呢？應(yīng)對方案很簡單——不要把手機(jī)借給不信任的人，特別注意指紋模塊上是否覆蓋有奇怪的貼膜。

（2）光學(xué)指紋。基本原理是利用屏幕照亮手指，隨后手指的成像透過顯示層像素間的小孔，被屏幕下方的光學(xué)傳感器/攝像頭所感知，進(jìn)而比對識(shí)別。

不過，光學(xué)指紋技術(shù)采集到的指紋信息都是平面的二維圖像，而且受制于光線傳播路徑的影響，采集的數(shù)據(jù)有損失，因此在2018年10月的GeekPwn國際安全極客大會(huì)上，騰訊安全實(shí)驗(yàn)室公布了當(dāng)時(shí)手機(jī)光學(xué)指紋技術(shù)廣泛存在的缺陷：殘跡重用漏洞，即采用反射體欺騙的方法，可以利用屏幕上殘存的指紋痕跡加上一張尋常的卡片，讓屏下指紋傳感器采集到手機(jī)主人的指紋殘跡并成功解鎖。

由于該漏洞影響廣泛且攻擊手段實(shí)在簡單，因此，騰訊聯(lián)合各手機(jī)廠商快速更新了指紋識(shí)別算法，也就是說如果讀者朋友們手上恰好有一部使用光學(xué)屏下指紋的2018年10月以前出廠的手機(jī)，務(wù)必盡快升級手機(jī)系統(tǒng)版本，避免漏洞被不法分子利用而造成經(jīng)濟(jì)損失。

（3）薄膜光學(xué)指紋?；谄胀ü鈱W(xué)傳感器或攝像頭的光學(xué)屏下指紋識(shí)別技術(shù)受制于傳感器大小和成本，難以擴(kuò)大指紋識(shí)別區(qū)域，因此為了提升使用體驗(yàn)，部分廠商在概念手機(jī)上嘗試了薄膜光學(xué)指紋識(shí)別。這里以上?；j箕公司的技術(shù)為例進(jìn)行解讀，其原理是在屏幕中增加一層TFT薄膜層，“指紋信息經(jīng)由蓋板玻璃反射后被像素的光敏器件獲取，光子轉(zhuǎn)換為電信號后通過特殊設(shè)計(jì)的16位模擬/數(shù)字電路進(jìn)行數(shù)據(jù)分析，再由圖像處理技術(shù)處理后輸出清晰完整的指紋圖像”。

由此可以看出，薄膜光學(xué)指紋與普通光學(xué)指紋并沒有本質(zhì)的區(qū)別，手指光學(xué)反射的依然是二維圖像，如果不增加特殊的活體檢測，也會(huì)存在前述殘跡重用漏洞的可能。

(4)超聲波指紋。超聲波指紋已在今年最新的旗艦手機(jī)上商用，原理類似聲吶，通過屏下發(fā)射超聲波接收反射來收集指紋的脊谷3D數(shù)據(jù)。它可以穿透油脂和水漬，由于超聲波的既有特性，其采集的指紋信息精度要明顯高于電容指紋。

然而，很快國外已經(jīng)有人破解了超聲波指紋，他首先拍攝了多張自己在酒杯玻璃上留下的指紋，之后利用Photoshop加工，并用3ds Max建模(需要計(jì)算出指紋脊谷的高低差)，讓照片中的指紋變成立體的3D版本，最后通過高精度的光子樹脂打印機(jī)制作了樹脂指紋模，并成功解鎖手機(jī)。

這整個(gè)過程可以在20分鐘內(nèi)完成，指紋取樣完全可以就地取材，即直接提取手機(jī)上的指紋痕跡。值得一提的是，這種3D打印假指紋，基本可以破解前面所有3類指紋識(shí)別技術(shù)，只不過破解技術(shù)成本非常的高。

需要指出的是，不少指紋識(shí)別供應(yīng)商早已意識(shí)到了風(fēng)險(xiǎn)，并且正在努力改進(jìn)下一代產(chǎn)品，常見的方案包括：

A.軟件算法優(yōu)化，動(dòng)態(tài)檢測指紋按壓時(shí)的形變(排除某些硬質(zhì)假指紋的干擾)，配合心跳檢測，靜態(tài)檢測則依靠采集高精度的圖像，比對手指上的汗孔特征(假指紋難以還原)。

B.硬件功能升級，增加對膚色和血流的識(shí)別，增強(qiáng)活體識(shí)別的強(qiáng)度(假指紋無法模擬)。

不過話說回來，攻破了指紋識(shí)別的防線，就可以為所欲為了么？還真不一定！現(xiàn)代風(fēng)控手段還會(huì)在指紋認(rèn)證后的業(yè)務(wù)流程當(dāng)中隨時(shí)識(shí)別異常，比如蘇寧金融會(huì)對大額陌生轉(zhuǎn)賬、異地消費(fèi)、可疑收貨地址等不正常的用戶行為實(shí)施攔截，風(fēng)險(xiǎn)部門的員工會(huì)額外執(zhí)行電話確認(rèn)以保護(hù)用戶權(quán)益。

因此，在更安全的指紋識(shí)別技術(shù)推廣以前，讀者們不必太過擔(dān)心。當(dāng)然，該提醒的也要提醒——建議各位不要在手機(jī)當(dāng)中的備忘錄或者相冊中存儲(chǔ)敏感信息(例如賬號密碼/取款密碼/身份證照片等)，畢竟手機(jī)本地存儲(chǔ)里的數(shù)據(jù)在指紋解鎖后就徹底大白于天下了。

另外，就是不要輕易在網(wǎng)上購買工具制作指紋模，好讓同事朋友代簽到(比如為了工作或練車)，因?yàn)橐坏┲讣y模被別有用心的人利用(復(fù)制)，您的手機(jī)甚至家里的指紋鎖都不再安全，而且這種風(fēng)險(xiǎn)是長久難以消除的。