智能指紋門(mén)鎖到底安全嗎？

一次意外的Home鍵摔裂，手機(jī)人人可解，是意外還是必然？多品牌手機(jī)出現(xiàn)相同癥狀，是小概率事件還是產(chǎn)品算法漏洞？相同問(wèn)題只存在于一家芯片供應(yīng)商還是普遍問(wèn)題？

從微博的一則爆料開(kāi)始，《IT時(shí)報(bào)》記者從2017年10月開(kāi)始持續(xù)追蹤手機(jī)指紋芯片漏洞問(wèn)題，接連發(fā)出五篇相關(guān)報(bào)道，尤其是在2017年12月1日的《主流國(guó)產(chǎn)手機(jī)出現(xiàn)罕見(jiàn)漏洞或波及上億部手機(jī)》一文中，通過(guò)專(zhuān)家采訪(fǎng)和親自測(cè)試，最終明確：由于手機(jī)指紋識(shí)別領(lǐng)域普遍采用了全圖像識(shí)別算法，而這種算法存在普遍性漏洞，一旦被有心人利用，手機(jī)指紋鎖形同虛設(shè)，人人可解，波及廠(chǎng)商除了主流國(guó)產(chǎn)手機(jī)廠(chǎng)商外，甚至還有蘋(píng)果。

系列報(bào)道見(jiàn)報(bào)之后，引起多方關(guān)注，《揚(yáng)子晚報(bào)》、中央電視臺(tái)等媒體多次跟蹤報(bào)道，近期的一則央視報(bào)道中更是指出，不僅手機(jī)指紋芯片存在相同問(wèn)題，相關(guān)指紋門(mén)鎖具也有類(lèi)似漏洞，這在智能鎖具市場(chǎng)引發(fā)一陣喧嘩。

為此，《IT時(shí)報(bào)》記者進(jìn)一步采訪(fǎng)解鎖的操作者、鎖具廠(chǎng)商和安全專(zhuān)家，在他們看來(lái)，報(bào)道中提到的解鎖模式有相對(duì)特殊的操作場(chǎng)景，消費(fèi)者不必過(guò)度恐慌，但同時(shí)，算法僅僅是智能鎖開(kāi)鎖的一種方式，由于目前并無(wú)統(tǒng)一標(biāo)準(zhǔn)，同一款鎖具采用的開(kāi)鎖方式越復(fù)雜，漏洞存在的概率就越高，因此提醒消費(fèi)者，購(gòu)買(mǎi)智能鎖還是要盡量選擇品牌產(chǎn)品。

指紋門(mén)鎖也存在漏洞

“民以食為天，以居為安�！毕胍�家里安全過(guò)得舒心，“門(mén)”的重要性往往擺在第一位。不過(guò)，常常忘帶鑰匙的尷尬，開(kāi)始讓鎖具廠(chǎng)商尋求更便捷的開(kāi)門(mén)方式，于是智能鎖在家庭市場(chǎng)熱了起來(lái)。

然而，便捷的同時(shí)，智能門(mén)鎖真的安全嗎？1月25日，CCTV-13新聞?lì)l道《指紋識(shí)別，當(dāng)真安全嗎？》的新聞中，除了指出手機(jī)存在安全漏洞，一張膜即可破解外，還展示了帶指紋解鎖的筆記本電腦以及指紋門(mén)鎖被破解的畫(huà)面。比起筆記本、手機(jī)等私人物品，消費(fèi)者擔(dān)心，裸露在外的指紋門(mén)鎖帶來(lái)的安全隱患更大。

視頻中進(jìn)行破解操作的是蘇州邁瑞微電子有限公司工作人員，其董事長(zhǎng)李揚(yáng)淵在接受《IT時(shí)報(bào)》記者采訪(fǎng)時(shí)透露了視頻中指紋門(mén)鎖的破解過(guò)程。新聞報(bào)道中，重點(diǎn)演示的安卓手機(jī)破解方法較為簡(jiǎn)單，只需要將膜貼上去之后，原主人解鎖一次后，便能實(shí)現(xiàn)人人可解的效果，但是指紋門(mén)鎖的破解過(guò)程相對(duì)復(fù)雜很多。

“貼膜之后還需要重新注冊(cè)指紋，注冊(cè)完成后再解鎖幾次，才能達(dá)到人人解鎖的效果�！崩顡P(yáng)淵表示，重新注冊(cè)指紋是必要操作，不可省略。

這樣破解方法與此前《IT時(shí)報(bào)》報(bào)道中iPhone被破解的方法類(lèi)似，但是指紋門(mén)鎖被破解的場(chǎng)景出現(xiàn)比較少。李揚(yáng)淵坦承，相比手機(jī)，指紋門(mén)鎖的攻擊場(chǎng)景很少，因?yàn)榧彝コ蓡T較為固定，二次錄入指紋可能性較小。

無(wú)需恐慌，只是小范圍警報(bào)

新聞報(bào)道中出現(xiàn)的這把智能門(mén)鎖是通過(guò)淘寶購(gòu)買(mǎi)，售價(jià)因材質(zhì)不同，分為799元至999元不等。通過(guò)商品詳情頁(yè)可以看到，這把號(hào)稱(chēng)德國(guó)品質(zhì)，應(yīng)用半導(dǎo)體指紋識(shí)別的智能門(mén)鎖，是采用RISC處理器內(nèi)核，并集成了指紋算法專(zhuān)用硬件電路。

通過(guò)拆解，李揚(yáng)淵發(fā)現(xiàn)這把鎖采用的是比亞迪芯片，兆易創(chuàng)新的單片機(jī)，但是模塊商沒(méi)有打標(biāo)，“無(wú)法確定模塊廠(chǎng)商，就很難判定出現(xiàn)該問(wèn)題的源頭在哪里，但可以確認(rèn)的是，算法的最后一層判決出了差錯(cuò)�！�

指紋識(shí)別算法是一套流程框架下的各個(gè)環(huán)節(jié)算法組合實(shí)現(xiàn)的綜合模型�？傮w來(lái)說(shuō)，分為圖像增強(qiáng)、幾何配準(zhǔn)和打分裁決三個(gè)環(huán)節(jié)。指紋門(mén)鎖的貼膜破解法，針對(duì)的是判決環(huán)節(jié)漏洞。“如果從結(jié)果倒推，可能存在好幾種情況，有可能是采用了圖像算法，又或者是傳統(tǒng)指紋特征點(diǎn)算法水平不高，”李揚(yáng)淵表示，“指紋特征提取實(shí)現(xiàn)不好，比如說(shuō)偽細(xì)節(jié)特別多，最終判定是否開(kāi)鎖時(shí)，有可能只識(shí)不別�！�

與手機(jī)內(nèi)部容量有限不同，主流的指紋門(mén)鎖搭載的傳感器面積至少是手機(jī)芯片的2倍以上。指紋門(mén)鎖的算法方案大部分以傳統(tǒng)利用指紋特征的算法為主，為了提高解鎖速度與體驗(yàn)，部分算法廠(chǎng)商會(huì)采取傳統(tǒng)算法與全圖像算法相結(jié)合方案。

指紋門(mén)鎖算法提供商上海圖正董事長(zhǎng)劉君分析，“現(xiàn)在指紋門(mén)鎖考慮到商業(yè)辦公的需要，可容納指紋至少都在百枚以上。而全圖像算法做不到這一點(diǎn)�！彼�認(rèn)為，由于全圖像算法對(duì)CPU芯片性能要求高，很難瞬間進(jìn)行大量的運(yùn)算，在1秒的時(shí)間里比對(duì)上百枚指紋，所以指紋門(mén)鎖很少采取全圖像算法解決方案。如果該漏洞確實(shí)因全圖像算法導(dǎo)致，劉君認(rèn)為用戶(hù)不必?fù)?dān)心，主流傳統(tǒng)的廠(chǎng)商并不會(huì)純粹只采取全圖像算法解決方案。

李揚(yáng)淵也表示，只實(shí)驗(yàn)了一把門(mén)鎖就發(fā)現(xiàn)了這個(gè)漏洞，沒(méi)有做普遍調(diào)查，而且攻擊場(chǎng)景也有限，“所以只是小范圍警報(bào)�！�

消費(fèi)提醒：盡量選擇知名品牌

不過(guò)，盡管指紋門(mén)鎖芯片廠(chǎng)商認(rèn)為，指紋被破解的大范圍概率并不存在，但這并不意味著，人們對(duì)智能鎖可以有足夠的樂(lè)觀(guān)。

1月30日，《IT時(shí)報(bào)》記者走訪(fǎng)了百安居、紅星美凱龍家居城，市場(chǎng)上在售的指紋門(mén)鎖大多在2000元以上，類(lèi)似李揚(yáng)淵破解的那種智能門(mén)鎖，線(xiàn)下門(mén)店幾乎沒(méi)有銷(xiāo)售。但在淘寶、京東等電商平臺(tái)上，打著智能門(mén)鎖旗號(hào)的店鋪有上千個(gè)，而且價(jià)格差異明顯，銷(xiāo)量靠前的多為千元以下的智能門(mén)鎖。

“指紋門(mén)鎖市場(chǎng)魚(yú)龍混雜，參差不齊，消費(fèi)者靠直觀(guān)分辨是否安全難度很大�！� 某從事公安科學(xué)技術(shù)研究的人員告訴記者，“京東、天貓也曾想給上線(xiàn)門(mén)鎖產(chǎn)品提一個(gè)標(biāo)準(zhǔn)，讓消費(fèi)者可以明確選擇，但是了解下來(lái)很難做評(píng)估，只能去檢測(cè)。目前，智能門(mén)鎖沒(méi)有強(qiáng)制性的檢測(cè)要求，所以很多廠(chǎng)商并不會(huì)送去專(zhuān)門(mén)機(jī)構(gòu)檢測(cè)。”

目前市面上常見(jiàn)的智能門(mén)鎖往往擁有多種開(kāi)鎖方式：指紋、IC卡、密碼、鑰匙等四種是常見(jiàn)的配置，而算法僅僅是存在指紋這一種方式上的漏洞。業(yè)內(nèi)專(zhuān)家表示，雖然前文報(bào)道中提到的安全隱患無(wú)需太多的擔(dān)憂(yōu)，但需要重視的是智能門(mén)鎖的整體安全，復(fù)制IC卡、破解密碼、黑客攻擊聯(lián)網(wǎng)門(mén)鎖等等，都很可能比算法破解要容易得多。

由于大部分智能鎖仍然具備機(jī)械鎖芯，目前智能鎖唯一強(qiáng)制性執(zhí)行的標(biāo)準(zhǔn)是國(guó)內(nèi)機(jī)械鎖執(zhí)行的標(biāo)準(zhǔn)為《 GA/T 73-2015》，其中明確指出中國(guó)機(jī)械鎖分為ABC三個(gè)等級(jí)，等級(jí)之間的差異在于開(kāi)啟時(shí)間的長(zhǎng)短。

“沒(méi)有絕對(duì)安全的鎖具，只有鎖具的抵抗能力強(qiáng)弱�！睒I(yè)內(nèi)專(zhuān)業(yè)人士對(duì)消費(fèi)者建議，雖然價(jià)位高的門(mén)鎖并不一定能代表性能好、安全級(jí)別高，但價(jià)格便宜的門(mén)鎖，存在核心算法簡(jiǎn)單、誤識(shí)別率高、鎖體強(qiáng)度低等風(fēng)險(xiǎn)的概率較大，綜合各方面情況來(lái)看，消費(fèi)者在購(gòu)買(mǎi)智能門(mén)鎖時(shí)要盡量選擇知名品牌。