作者FreedomMax (FreedomKnight)
看板MobilePay
标题Re: [请益]指纹辨识安全性?
时间Tue Aug 7 22:35:16 2018
※ 引述《NHC (亲亲小狗snoopy)》之铭言:
: 文章出处
: 文章代码(AID): #1RN6uJQo (MobileComm) [ptt.cc] Re: [闲聊] 手机支付好像冷 │
: │ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1532784147.A.6B2.html
: 谢谢大家的解说,看完文章後,一时被吓到,
: 这样安心了。
: 大家看到标题请不要马上生气,只是不知怎麽传达我的困惑。
: 之前在某版看到有关行动支付的讨论(此话题已被该版停止),
此篇也被标记结案,小弟也不知道能不能回覆,如果违反版规请板主删掉吧
: 记得有位网友说:指纹是生物特徵,连大法官都说强行人民按指纹是违宪,
之前新式身分证出来,要强迫让每个人换发时同时纪录指纹当然违宪
这部分是国家强迫每个人,但今天指纹支付是你同意的,你可以选择不要,你有选择权
: 而在每次我们授权支付时,同时也将我们的指纹传给商家,
: 不肖业者就可以利用这些指纹做不法的事
: 我对於那位网友的说法很困惑,
: 也在网路上有找手机、支付、指纹等关键字,
: 似乎没相关讨论文章 ,只有说对岸曾有人用橘子皮,就解开手机
: 不知那位网友说的正确性有多高?
: 指纹真的会利用行动支付的方式这麽容易就传给商家?
: 如果如网友所言,那为什麽没有见政府或3C达人等出来指出这可怕的地方。
: 个人是对网友的说法保持怀疑,
: 但网路上没有查到相关资讯,
: 所以想在支付版请教,这说法的可靠性
: 支付专版专业人士应该较多,再请大家解惑了,谢谢。
指纹辨识一般都是撷取特徵的,讲特徵太拢统的话,大概就是你指纹哪几个地方突出来之类的。
然後拿这些特徵跟你之前纪录在手机的特徵去做比对。
现行手机开发,基本上都是透过苹果或安卓提供给开发者的工具去辨识
因为
1. 你纪录指纹的地方是 ios 的系统或是 Android 而非各 app
2. 指纹辨识的硬体是手机厂商提供的
3. app 开发者不会想花时间再重新做已有的工具去辨识
(麻烦程度大到要求使用者越狱或是 root 之类)
接着系统只需要告诉 app 说辨识成功或失败即可,因此 app 不会拿到你的指纹
对於 app 来说他也只需要知道是否成功辨识
所以问题就落在苹果跟 Google 身上了。
基本上他们说指纹特徵(非完整指纹)只会纪录在手机本身,那自然就会有各大资讯安全人士去检测。
如果检测到有偷传回去,哇 那这个人就能到处发表让苹果跟 Google 股价暴跌
当然原 PO 的担忧相信也不是不无道理,毕竟这是靠厂商的良心
如果是那种来路不明的厂商,不明的系统,还在同意书上让你同意回传给他们的伺服器
也不是没那个可能。而且对资讯安全界来说,检测小众系统没有太高的价值。
最後补罹戛a的部分,这部分跟 app 也是类似。
信用卡机是只要知道信用卡号即可,因此像是 apple pay 这类的支付
他们在设计流程的时候,只会告知卡号。
只是告知前先透过原本的指纹辨识来确认是不是能够告知读卡机信用卡号。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.134.230.161
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobilePay/M.1533652519.A.6A4.html
1F:推 nadoka: 而且现行的指纹辨识储存的范围真的很小 光靠特徵码也 08/07 22:39
2F:→ nadoka: 无法还原出指纹长什麽样子 08/07 22:40
3F:推 hms5232: 推 内文没错误对一般人也浅显易懂 08/07 22:59
4F:→ hms5232: 补充个 三星最近的手机指纹资讯应该都放在KNOX了 08/07 23:00
5F:→ hms5232: 搞不好连API也不用google的而是三星自己写 08/07 23:00
※ 编辑: FreedomMax (220.134.230.161), 08/07/2018 23:29:32
6F:→ FreedomMax: 谢补充,上面是为了行文方便缩略成两间说明 08/07 23:33
※ 编辑: FreedomMax (220.134.230.161), 08/07/2018 23:40:07
※ 编辑: FreedomMax (220.134.230.161), 08/08/2018 00:05:13
7F:推 MJdavid: 标记起来是因为内容有误导的感觉 但是底下推文又有人提出 08/08 06:02
8F:推 MJdavid: 解说 所以就留着当反面教材 08/08 06:02
9F:→ erspicu: 就一堆没常识又自以为是的人杞人忧天 08/08 09:37
10F:→ erspicu: 一天到晚转传垃圾谣言下载病毒搞得电脑一团乱 然後 08/08 09:37
11F:→ erspicu: 又一天阴谋论自己乱想 什麽骇客要来攻击我 或是啥 08/08 09:38
12F:→ erspicu: 大家都想偷偷拿我的隐私资料有的没的鬼的 08/08 09:38
13F:→ erspicu: 很多人年纪轻轻就已经表现出长辈那种气质 08/08 09:41
14F:→ FreedomMax: 其实我回这篇并没有否定资料偷传的可能 08/08 10:18
15F:→ erspicu: 要有利可图.商业价值或是特殊目地 重点是太容易被抓包了 08/08 10:40
16F:推 ridesuptt: 那篇引用的文章说的是直接按压店家的指纹辨识付款,而 08/08 12:41
17F:→ ridesuptt: 非透过手机,现在台湾也没在用这种方式 08/08 12:41
18F:→ nadoka: 台湾有类似的,中信ATM的指静脉XD 08/08 14:46
19F:→ nadoka: 虽然说不是拿来支付,不过提款应该也算一种金流吧 08/08 14:47
20F:→ nadoka: 生物辨识的便利性和隐私性基本上都是一体两面的东西啦 08/08 14:48
21F:推 hms5232: 没关系啦 三星这个毕竟算特例 可能连三星使用者自己都不 08/08 15:36
22F:→ hms5232: 知道 总之有兴趣的可以多查资料 这些东西其实很有趣的 08/08 15:36
23F:推 nadoka: 三星用到自家KNOX的好像还满多的 08/08 16:24
24F:→ nadoka: 据说解锁Bootloader会物理性融断KNOX不知道是不是真的XD 08/08 16:26
25F:推 hms5232: 回楼上 基本上只要ROOT(这个有人说不会 不确)或刷非原厂 08/08 19:38
26F:→ hms5232: ROM就会自己熔断 物理保险丝的概念 之後recovery里看就会 08/08 19:39
27F:→ hms5232: 0x1 就是这样来的 这个是真的 从Note3开始就实装了 08/08 19:39
28F:→ Sheng98: 这个物理熔断, 不就这个手机的指纹辨识直接废掉? 08/08 19:42
29F:→ hms5232: 指纹虹膜会不会废掉我不知道 但SP确定会不能用(显示"装置 08/08 20:00
30F:→ hms5232: 已变更"之类的讯息 就掰掰罗 08/08 20:01
31F:→ Sheng98: 那可能就要用其他可支援指纹辨识的 APP 来试试看了 08/08 20:10
32F:→ Sheng98: ex GP 08/08 20:10
33F:推 jerry92277: GP没啥好测,基本上就是safety net过就没事,magisk上 08/13 20:39
34F:→ jerry92277: 一上就好了 08/13 20:39