iPhone SE发布了，并没有“活体指纹识别”什么事

在本文一开始举出的例子里，厂商用超出应用场景的定制假体来攻击Touch ID，同时在自己的活体检测方案里加入对应用场景没有意义但能够阻挡该定制假体的活体检测手段。

在这次破解中，厂商用的指纹假体是黑色的，而且看起来很厚实，所以光学方法当然能阻挡下来。可是，又有谁见过黑漆漆的假指纹？自1971年的007电影首次出现假指纹以来，所有的假指纹都是透明或半透明得。

（图5，Goodix公司定制版本的假指纹，和真实存在的假指纹）

我们来仔细讨论：

为什么智能手机应用场景不需要考虑这个黑乎乎的假指纹？

在iPhone没有丢失的情况下，即使被旁人借用，也在主人的视线以内。谁能当着主人的面拿出一坨黑乎乎的东西往Touch ID上撸，把iPhone给撸开，还不被主人发现呢？再说，这黑乎乎的一坨也不是谁都造得了，必须基于真指纹二次倒模才能做出来，所以需要“iPhone的主人亲自做了一坨黑乎乎的假指纹，送给想窃取手机内信息的人，并看着他当面把Touch ID破解掉”。如果有这样又眼拙又主动配合攻击者制造假指纹的iPhone用户，恐怕已经不是安全技术所能解决的范畴，而进入精神病医生的业务范围。这样假定攻击场景根本没有意义。

从攻击者的角度来讲，由于太容易被他人发现，这坨黑东西根本不实用。这就是为什么我们从未见过如此假指纹的原因。如果G公司换用一个真实存在的假指纹，去掉黑色这个特性，光传感器自然就失去效用，那么G公司的“活体指纹识别”的表现就跟Touch ID一样啦。这就回答了苹果明明拥有结合指纹传感器和光传感器的发明专利却不使用，因为这在应用场景中没有导致任何的攻击成本上升。

这么说可能说服力不够，我们换个角度继续谈。

手机丢失后迅速锁定和擦除是王道。活体识别不是唯一的安全技术，安全技术也不是解决安全问题的唯一办法。安全技术一般不会尝试解决这样的问题：熟人在主人不知情的情况下先窃取指纹，再窃取手机，然后破解指纹作案，因为熟人经过长期准备来作案，其暴露风险已经导致了很高的攻击成本。而攻击成本是安全等级的唯一度量，只有高于该攻击成本级别的安全系统才会处理这类问题，例如公安局。而一部智能手机，被苹果做到连FBI都束手无策的地步，凭什么还要强求对根本不存在的攻击场景作出应对呢？（《让 FBI 证明产品的安全性，苹果做到了》）

本文的线索来自我们的法国朋友Jean-Franois对G公司在MWC 2016展示的吐槽。Jean建立了全球最全面最优秀的指纹识别技术资料站，是我成长学习中主要知识来源之一，可以点击这里进入。

Jean自己就是研究假体攻击和活体检测的技术大拿，对厂商跑到MWC炒陈年米饭大为不满，吐槽其用了Authentec（就是苹果的电容指纹技术研发部门）的原理图，还提到专利侵权和Samsung（众所周知，三星电子因为专利侵权赔了苹果公司一大笔钱）。在他的提示下，我找出了苹果的发明专利，进而揭开了这个谜题。须知，Jean的资料站年访问量近百万，这些吐槽让全世界的专业读者都看到了。

Cheers Jean! 

设计公司的价值观不应该是技术高超，而是完好地解决需求

在Jean的槽点以外，平心而论，搞这种不考虑应用场景的破解（iPhone在内的指纹锁）是没什么意义的——既然破解者连应用场景都没搞清楚过，岂不是正好说明了破解者自己根本不知道会面临怎样的攻击，怎能做到成功的防御呢？成为优秀的设计公司应该是以产品为中心，为了解决产品的需求才采用或研究高超的技术。就像苹果为保iPhone的颜值，促进电容指纹技术的行业性提升，这才是值得我们称道的。

而一切不以满足产品需求为目的的秀技术，就跟不以结婚为目的的谈恋爱一样，都是在耍流氓。

推荐阅读：

Touch ID变大！iPhone 6s的Home键下面隐藏着什么秘密？

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!