指纹解锁被黑 三星谷歌等厂商如何自证清白？

　　这个移动互联网的世界究竟有多不安全?看看你自己的手机就知道了。

　　近日，一则关于Android系统智能手机指纹识别功能的巨大漏洞被曝光，再次引发了人们对于移动安全的关注。同时，这一事件是否会对国内的手机用户造成影响，也是舆论争论的焦点。

　　事件缘起于本周在美国洛杉矶召开的黑帽安全技术大会(BlackHat)，两名来自中国的程(Hei)序(Ke)员利用Android系统安全漏洞攻破了其指纹识别功能，并顺利窃取到了用户的指纹信息。现场展示的机型包括三星的GalaxyS5和HTCOneMax。

　　据上述人士表示，在本次攻击中，漏洞源于Android系统的安全构架问题和原始设备制造商创建的远程支持工具的缺陷。用户的指纹数据会直接落入攻击者的手中，“只要受害者还活着，攻击者就能肆意利用其指纹信息做坏事”——移动支付、设备密码、身份、甚至非法移民和犯罪。同时，该漏洞也会涉及到不少高端笔记本电脑的指纹传感系统。

　　据悉，由于很多设备制造商并未完全“锁定”其指纹支付系统，因此攻击者可以在神不知鬼不觉的情况下从被感染的设备上偷走指纹信息。

　　好在对此，谷歌和三星官方已做出回应，并表示将修补这一漏洞：

谷歌：“感谢研究人员提出的问题，这鞭策我们进行改善，这个问题Android手机厂商已经解决并提供更新补丁。希望大家使用可靠的应用程序来源，比如说GooglePlay。”

三星：“感谢用户的信任，并使用我们的产品和服务。我们意识并了解到问题，并已经提供了解决方案，希望大家不要安装不可信的应用程序。”

　　在国内，目前已有多家手机厂商在自家的产品上添加了指纹识别功能，已经发布的包括华为Mate7及荣耀7、中兴AXON天机等。那么，他们是否也会在此次事件中躺枪呢?

　　中兴技术人士向笔者表示，AXON天机的指纹数据是存储在其内核芯片的TrustZone区域的，这个区域与Android系统及其他硬件环境“完全隔离”。所以，黑客即便攻破Android系统也是无法进入TrustZone获取用户的指纹图像。

　　而在此前，华为也对其指纹识别功能做出了公开说明并称其是一套基于芯片硬件的安全解决方案：指纹加密、存储、校验的程序是运行在海思芯片里物理隔离的安全OS中，安卓环境下的程序无法直接访问，即使手机被root后，这部分仍然不能被访问和篡改。同时，手机并不会保存指纹图像，只保存经过提取后的模板信息，通过指纹模板并不能还原出指纹图像。