V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NotreDame
V2EX  ›  Android

问一下安卓指纹开发相关的朋友,国内安卓是怎么处理用户的指纹的?

  •  
  •   NotreDame · 2018-09-13 15:23:45 +08:00 · 12196 次点击
    这是一个创建于 2262 天前的主题,其中的信息可能已经有所发展或是发生改变。

    iPhone 发布会上强调自己的指纹读取存放是多么多么的安全可靠。好奇国内安卓厂商是怎么处理用户的指纹的,跟 iPhone 的指纹安全级别相比怎样?是采用的原生 Android 的指纹机制吗?尤其小厂(销量相对小很多)一加、锤子之类的。

    29 条回复    2018-10-04 20:00:47 +08:00
    orochix
        1
    orochix  
       2018-09-13 16:07:24 +08:00 via Android
    苹果公司有钱有关系,FBI 都可以配合演出。天下乌鸦一般黑,只是有的乌鸦个头大,所以大家认为他是只鸵鸟。你让国安配合
    yukiww233
        2
    yukiww233  
       2018-09-13 16:12:22 +08:00
    存储在 TrustZone 芯片配合实现
    zhouquanbest
        3
    zhouquanbest  
       2018-09-13 17:49:32 +08:00 via Android
    能用微信和支付宝的 安全系数就够了
    puga2006
        4
    puga2006  
       2018-09-13 18:27:11 +08:00
    这是手机厂商的机密吧,都签了保密协议的。
    pkoukk
        5
    pkoukk  
       2018-09-13 18:28:53 +08:00
    新版本的安卓强制规定的指纹存储的位置,配合芯片实现,和常规系统和存储是隔离的
    xiyuemu
        6
    xiyuemu  
       2018-09-13 18:37:17 +08:00 via Android
    一样的技术。硬件供应商都是一样的。
    CommandZi
        7
    CommandZi  
       2018-09-13 18:45:46 +08:00   ❤️ 5
    @orochix 关于 TouchID 的白皮书 https://www.apple.com/cn/business/docs/iOS_Security_Guide.pdf ,关于 FaceID 的白皮书 https://www.apple.com/business/site/docs/FaceID_Security_Guide.pdf

    你要是觉得苹果公司是乱搞的,拿证据出来。杠精都是没有证据,张嘴就来。
    imn1
        8
    imn1  
       2018-09-13 18:52:40 +08:00
    肯定是硬件,而且不能离开设备备份的吧,不知道,我不用各种云备份

    我个人给的意见是,指纹只是方便,确实很方便、非常方便,但其实不安全,不要有指纹识别安全的错觉

    我玩过,让同事去淘宝买磁粉,也叫指纹粉,用透明胶在他杯子上提取了指纹(技术不够,试了多次才成功),不过我没在他手机上试,然后告诉他们在大学就玩过了,同事们都怕了我,2333
    NotreDame
        9
    NotreDame  
    OP
       2018-09-13 19:05:10 +08:00
    @yukiww233
    @pkoukk 如果想办法获取到了安卓存储的指纹信息,能从中提取出用户的完整指纹信息吗?
    liuli008
        10
    liuli008  
       2018-09-13 19:13:50 +08:00
    IFAA 联盟
    Flobit
        11
    Flobit  
       2018-09-13 19:35:29 +08:00 via Android
    没有绝对的安全,现在这社会人人都在裸奔,只是大家不愿意承认吧
    WuwuGin
        12
    WuwuGin  
       2018-09-13 19:51:57 +08:00
    @NotreDame trustzone 是芯片内置的一个区域,并且拥有自己的操作系统,和安卓本身的安全性无关。
    NotreDame
        13
    NotreDame  
    OP
       2018-09-13 21:15:08 +08:00
    @WuwuGin 其实我想问,那个区的信息能不能被拿到,拿到后又能不能被破解。因为苹果一直说:就算拿到了也无法还原真实的指纹信息。
    WuwuGin
        14
    WuwuGin  
       2018-09-13 21:50:46 +08:00 via Android
    @NotreDame 那个地方也不会存指纹本身的,倒是有可能会有漏洞在你接触传感器过程中劫持指纹图像。
    mintist
        15
    mintist  
       2018-09-13 22:08:16 +08:00   ❤️ 2
    首先,存储的是指纹的特征点,而不是指纹图像,而特征点你可以认为是指纹图像的某种哈希值(这个大家都是程序员应该都懂),是无法通过指纹特征点反向推出指纹图像的;(这也是为什么苹果说就算拿到了也是没有办法还原指纹信息的原因)

    另外,指纹特征点数据的存储不管安卓( TEE,可信赖执行环境,是第三方机构做的,和厂商没有关系,其中要用到的硬件存储模块是 TrustZone )还是苹果(不太清楚),都是有一套机制保证的;

    所以,据我所知目前国内主流厂商(除非没有名字的山寨)都是采用 TEE 来对指纹进行管理的,所以是很安全的(因为和厂商无关),另一方面,这个问题一旦出现是非常严重的,只要有牌子的厂商就不会在这一块动手脚。
    NotreDame
        16
    NotreDame  
    OP
       2018-09-13 23:59:58 +08:00
    @mintist 感谢解惑。其实我就是不知道类似包含指纹信息的某种哈希值会不会被高手\黑客团队破解开来。倒不是多么信任苹果,而是说起码人家在发布会很有底气的说我们的指纹是多么多么的安全,一水的安卓厂商没有一个(可能我孤陋寡闻了)在发布会上提指纹存储及安全的问题,而全是“我的解锁速度比**快**毫秒”。所以,惭愧的是,指纹安全问题是阻挡我使用安卓的很严肃的一点。。。
    lscho
        17
    lscho  
       2018-09-14 01:21:45 +08:00 via Android
    @NotreDame 存在被破解的可能,但是就算破解也只能得到指纹的特征码,而不是图像。。通过特征码是无法还原出图像的。。
    arthasgxy
        18
    arthasgxy  
       2018-09-14 01:29:56 +08:00
    @CommandZi
    说起来我还真曾想过会不会 FBI 当初是为了配合苹果演出。
    后来想想按照 FBI 这 LEVEL,应该不至于主动丢这个人。反过来苹果配合它还差不多。
    thinnonex
        19
    thinnonex  
       2018-09-14 04:33:18 +08:00 via Android
    @NotreDame 华为了解下,你自己孤陋寡闻而已
    greatghoul
        20
    greatghoul  
       2018-09-14 08:37:14 +08:00 via Android   ❤️ 1
    安全也是存在贵州,有个屌用
    honeycomb
        21
    honeycomb  
       2018-09-14 08:59:57 +08:00 via Android
    指纹一般是放心的,苹果怎么处理,其它的手机也怎么处理。

    有人(好像是 chainfire )解释过 pixel 2017 处理全盘加密( fbe )的流程,软件和硬件的密钥生成器都会用到。
    feng1234
        22
    feng1234  
       2018-09-14 09:37:29 +08:00
    Tencent SOTER 了解下,目前 90%的国内安卓机出厂都内嵌了这个服务
    zhaoxiting1997
        23
    zhaoxiting1997  
       2018-09-14 09:49:29 +08:00
    很老以前的 Android 6.0 自制 ROM 上见过有指纹 Hash 直接存在一个文件的,可能因为没有 TrustZone 的驱动。8.0 以上基本全部存在 TrustZone 了。不清楚楼主担心的是什么,如果担心被获取指纹图像的话,未 ROOT 的 Android 上没有可能,ROOT 后改指纹驱动之类的或许存在可能,Android 系统层面读不到指纹图像,就算挂 Xposed 也没有,或许挂 Xposed 能获取到指纹 Hash。另外如果有物理接触手机获取指纹图像的最好方法是从触摸屏或者手机表面去提取,而不是想办法去读指纹芯片。。。
    NotreDame
        24
    NotreDame  
    OP
       2018-09-14 10:28:35 +08:00
    @honeycomb pixel+原生安卓,我还是挺放心的
    NotreDame
        25
    NotreDame  
    OP
       2018-09-14 10:31:21 +08:00
    @zhaoxiting1997 OK,我开始担心的就是获取特征值能不能逆读取到原始 or 可用的指纹信息。
    Bown
        26
    Bown  
       2018-09-14 11:00:55 +08:00
    跟微信负责指纹支付的朋友聊过,说是 Android 指纹相关 API 都不安全,所以微信和各手机厂商深度合作搞了 soter 这个平台,https://github.com/Tencent/soter
    toinmyfree
        27
    toinmyfree  
       2018-09-14 11:25:39 +08:00
    android 8.1 系统过了 GMS 验证机器,只要涉及了人脸,指纹,都必须添加 TEE 的,这个比<8.1 的安全会有提升额。。。
    passerbytiny
        28
    passerbytiny  
       2018-09-14 18:21:12 +08:00 via Android
    @NotreDame 如果是这点,不用担心,类似 md5 这样的非对称加密就能保证,技术门槛极低。你需要考虑的只是你要不要信任厂商。
    Stain5
        29
    Stain5  
       2018-10-04 20:00:47 +08:00
    苹果的指纹机制是由传感器读取后把数据发送到一个与系统隔离的专用处理器上处理 ,专用处理器判断完后再返还给系统结果。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2848 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 02:49 · PVG 10:49 · LAX 18:49 · JFK 21:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.