日前,英國媒體曝光,一名英國婦女尼爾森(Lisa Neilson)在eBay購得一張廉價屏幕保護貼后,以她的右手姆指為新手機Galaxy S10登記指紋,但貼上屏幕保護膜使用未登記指紋后,任何人都能解開她的Galaxy S10。相對于上次三星手機電池自燃事件中三星公開表態的“系外部熱源加熱所致”,這次三星倒是承認手機指紋識別系統存在問題,并建議持有者刪除所有已登記指紋。
隨后,中國銀行發布《關于臨時關閉三星部分手機型號手機銀行指紋服務的公告》。公告稱,為保障用戶登錄安全,中國銀行手機銀行APP已暫時關閉上述型號手機的指紋登錄功能。此外,支付寶和微信也緊急關閉了問題機型的指紋支付。韓國網上銀行KakaoBank和韓國信用卡公司等多家經融機構都宣布了停用受影響機型的指紋認證,并提醒用戶在這項問題解決以前,應使用密碼及圖案解鎖。
目前,受影響的主要是Galaxy S10和 Galaxy Note 10兩款手機和Tab S6平板等。但不排除其他三星手機也存在類似缺陷。
事實上,利用指紋是存在較大風險的。鐵流采訪在多年前采訪時任公安部第三研究所物聯網技術研發中心主任梅林,梅林主任告知:
我們注意到手機、筆記本等用指紋開鎖,雖然方便,但是安全是有問題的,我所的公安部信息網絡安全重點實驗室僅用假體攻擊就能輕易打開這些指紋鎖。
不僅僅是指紋識別,人臉識別、虹膜識別等生物特征識別人臉識別、虹膜識別等生物特征識別用于網絡支付都是存在一定風險的。2016年德國紐倫堡大學發表了一篇face2face的論文,從技術上已經實現了遠程用模擬他人人臉進行身份認證。
即使拋開黑客攻擊,生物特征識技術在理論上有別于密碼技術,是不可能做到100%準確的,所以,在開放的網絡空間,銀行開戶和大額支付等高安全級別場景,不宜采用生物特征識別技術進行認證,否則將引發系統性風險。在采集設備可控、環境可控的安防場景,人臉識別等技術應用前景很廣泛。總之,任何技術都有其適用場景,不能因為方便而不顧安全隱患、特別是系統性風險。
另外,一旦指紋、虹膜、人臉信息被聯網的手機、筆記本傳出去。由于這些生物特征是重要的個人身份信息,因為生物特征是每個人所獨有的、伴隨終生的、不可更改的。一旦大規模泄露,造成的后果將是災難性的!
為了使個人生物特征信息不被非法獲取和泄露,要多管齊下,一是個人要加強自我保護意識;二是國家要在標準制定方面、在生物特征采集設備市場準入和強制檢測方面,保證終端的安全;三是要加強數據的保護手段以及數據的安全應用。
對于網絡空間的身份認證,目前最安全的是通過“公安部公民網絡身份識別系統”,采用eID來進行網絡身份認證;生物特征識別應當作為物理空間身份查驗中“人證合一”的輔助手段,即判別持證人是否持本人的身份證。
其是,三星這次翻車,只不過是讓原本就存在安全瑕疵的指紋識別技術的問題暴露出來,其他手機的指紋識別也存在這種風險,只不過暫時沒有暴露出來,或者已經被個別用戶發現,但局限于個人茶余飯后的談資,沒有形成三星這種輿論風波。
對于普通用戶來說,在開放的網絡空間,銀行開戶和大額支付等高安全級別場景,不宜采用生物特征識別技術進行認證,否則將引發系統性風險。使用U盾或密碼雖然不像指紋、人臉識別那么方便,但在安全性上更有保障。
對于三星來說,這次指紋識別翻車無疑是一次巨大的信任危機。雖然三星在中國的市場份額因為手機自燃事件雪崩式下跌,但在全球市場依然有較高的占有率。如果這次三星處置失當,那么,沒準又會遭遇一次滑鐵盧。
「 支持烏有之鄉!」
烏有之鄉 WYZXWK.COM
您的打賞將用于網站日常運行與維護。
幫助我們辦好網站,宣傳紅色文化!
歡迎掃描下方二維碼,訂閱烏有之鄉網刊微信公眾號
