一次意外的Home键摔裂,手机人人可解,是意外还是必然?多品牌手机出现相同症状,是小概率事件还是产品算法漏洞?相同问题只存在于一家芯片供应商还是普遍问题?
从微博的一则爆料开始,记者从2017年10月开始持续追踪手机指纹芯片漏洞问题,接连发出五篇相关报道,尤其是在2017年12月1日的《主流国产手机出现罕见漏洞 或波及上亿部手机》一文中,通过专家采访和亲自测试,最终明确:由于手机指纹识别领域普遍采用了全图像识别算法,而这种算法存在普遍性漏洞,一旦被有心人利用,手机指纹锁形同虚设,人人可解,波及厂商除了主流国产手机厂商外,甚至还有苹果。
系列报道见报之后,引起多方关注,《扬子晚报》、中央电视台等媒体多次跟踪报道,近期的一则央视报道中更是指出,不仅手机指纹芯片存在相同问题,相关指纹门锁具也有类似漏洞,这在智能锁具市场引发一阵喧哗。
为此,记者进一步采访解锁的操作者、锁具厂商和安全专家,在他们看来,报道中提到的解锁模式有相对特殊的操作场景,消费者不必过度恐慌,但同时,算法仅仅是智能锁开锁的一种方式,由于目前并无统一标准,同一款锁具采用的开锁方式越复杂,漏洞存在的概率就越高,因此提醒消费者,购买智能锁还是要尽量选择品牌产品。
“民以食为天,以居为安。”想要家里安全过得舒心,“门”的重要性往往摆在第一位。不过,常常忘带钥匙的尴尬,开始让锁具厂商寻求更便捷的开门方式,于是智能锁在家庭市场热了起来。
然而,便捷的同时,智能门锁线新闻频道《指纹识别,当真安全吗?》的新闻中,除了指出手机存在安全漏洞,一张膜即可破解外,还展示了带指纹解锁的笔记本电脑以及指纹门锁被破解的画面。比起笔记本、手机等私人物品,消费者担心,裸露在外的指纹门锁带来的安全隐患更大。
视频中进行破解操作的是苏州迈瑞微电子有限公司工作人员,其董事长李扬渊在接受记者采访时透露了视频中指纹门锁的破解过程。新闻报道中,重点演示的安卓手机破解方法较为简单,只需要将膜贴上去之后,原主人解锁一次后,便能实现人人可解的效果,但是指纹门锁的破解过程相对复杂很多。
“贴膜之后还需要重新注册指纹,注册完成后再解锁几次,才能达到人人解锁的效果。”李扬渊表示,重新注册指纹是必要操作,不可省略。
这样破解方法与此前报道中iPhone被破解的方法类似,但是指纹门锁被破解的场景出现比较少。李扬渊坦承,相比手机,指纹门锁的攻击场景很少,因为家庭成员较为固定,二次录入指纹可能性较小。
新闻报道中出现的这把智能门锁是通过淘宝购买,售价因材质不同,分为799元至999元不等。通过商品详情页可以看到,这把号称德国品质,应用半导体指纹识别的智能门锁,是采用RISC处理器内核,并集成了指纹算法专用硬件电路。
通过拆解,李扬渊发现这把锁采用的是比亚迪芯片,兆易创新的单片机,但是模块商没有打标,“无法确定模块厂商,就很难判定出现该问题的源头在哪里,但可以确认的是,算法的最后一层判决出了差错。”
指纹识别算法是一套流程框架下的各个环节算法组合实现的综合模型。总体来说,分为图像增强、几何配准和打分裁决三个环节。指纹门锁的贴膜破解法,针对的是判决环节漏洞。“如果从结果倒推,可能存在好几种情况,有可能是采用了图像算法,又或者是传统指纹特征点算法水平不高,”李扬渊表示,“指纹特征提取实现不好,比如说伪细节特别多,最终判定是否开锁时,有可能只识不别。”
与手机内部容量有限不同,主流的指纹门锁搭载的传感器面积至少是手机芯片的2倍以上。指纹门锁的算法方案大部分以传统利用指纹特征的算法为主,为了提高解锁速度与体验,部分算法厂商会采取传统算法与全图像算法相结合方案。
指纹门锁算法提供商上海图正董事长刘君分析,“现在指纹门锁考虑到商业办公的需要,可容纳指纹至少都在百枚以上。而全图像算法做不到这一点。”他认为,由于全图像算法对CPU芯片性能要求高,很难瞬间进行大量的运算,在1秒的时间里比对上百枚指纹,所以指纹门锁很少采取全图像算法解决方案。如果该漏洞确实因全图像算法导致,刘君认为用户不必担心,主流传统的厂商并不会纯粹只采取全图像算法解决方案。
李扬渊也表示,只实验了一把门锁就发现了这个漏洞,没有做普遍调查,而且攻击场景也有限,“所以只是小范围警报。”
不过,尽管指纹门锁芯片厂商认为,指纹被破解的大范围概率并不存在,但这并不意味着,人们对智能锁可以有足够的乐观。
1月30日,记者走访了百安居、红星美凯龙家居城,市场上在售的指纹门锁大多在2000元以上,类似李扬渊破解的那种智能门锁,线下门店几乎没有销售。但在淘宝、京东等电商平台上,打着智能门锁旗号的店铺有上千个,而且价格差异明显,销量靠前的多为千元以下的智能门锁。
“指纹门锁市场鱼龙混杂,参差不齐,消费者靠直观分辨是否安全难度很大。” 某从事公安科学技术研究的人员告诉记者,“京东、天猫也曾想给上线门锁产品提一个标准,让消费者可以明确选择,但是了解下来很难做评估,只能去检测。目前,智能门锁没有强制性的检测要求,所以很多厂商并不会送去专门机构检测。”
目前市面上常见的智能门锁往往拥有多种开锁方式:指纹、IC卡、密码、钥匙等四种是常见的配置,而算法仅仅是存在指纹这一种方式上的漏洞。业内专家表示,虽然前文报道中提到的安全隐患无需太多的担忧,但需要重视的是智能门锁的整体安全,复制IC卡、破解密码、黑客攻击联网门锁等等,都很可能比算法破解要容易得多。
由于大部分智能锁仍然具备机械锁芯,目前智能锁唯一强制性执行的标准是国内机械锁执行的标准为《 GA/T 73-2015》,其中明确指出中国机械锁分为ABC三个等级,等级之间的差异在于开启时间的长短。
“没有绝对安全的锁具,只有锁具的抵抗能力强弱。”业内专业人士对消费者建议,虽然价位高的门锁并不一定能代表性能好、安全级别高,但价格便宜的门锁,存在核心算法简单、误识别率高、锁体强度低等风险的概率较大,综合各方面情况来看,消费者在购买智能门锁时要尽量选择知名品牌。
据外媒报道,芯片巨头英特尔终于打上了一个存在了近乎 10 年的安全漏洞补丁,其影响自 2008 年的 Nehalem 以来、一直到 2017 年的 Kaby Lake 的许多芯片。在 5 月 1 日发布的一篇安全公告中,英特尔对这个提权漏洞划给出了“极其严重”(Critical Severity)的评定。该漏洞存在于主动管理(AMT)、标准管理(ISM)、以及英特尔小企业技术(SBT)中,涉及版本号为 6.x、7.x、8.x、9.x、10.x、11.5、以及 11.6 的固件。下面就随嵌入式小编一起来了解一下相关内容吧。 这个安全漏洞存在了近十年 英特尔终于打上了补丁 借助这个漏洞,攻击者可以“获取上述产品中提供的管理功能
据国外媒体报道,美国国会目前已致信苹果、英特尔、AMD等多家大公司的CEO,要求他们说明为何推迟公开早已知晓的芯片漏洞。 致信苹果等多家大公司CEO的是美国国会众议院能源和商业委员会,他们在上周三致信苹果、英特尔、亚马逊、AMD、ARM、谷歌和微软的CEO,要求他们提供推迟公开芯片漏洞的信息。 此次所涉及的芯片漏洞就是本月初被公开的名为“崩溃(Meltdown)”和“幽灵(Spectre)”的漏洞,名为“崩溃(Meltdown)”的漏洞影响英特尔的芯片,“幽灵(Spectre)”漏洞则波及到了英特尔、AMD和ARM的芯片,英特尔1995年之后生产的芯片,都受到了公开的漏洞的影响,而采用ARM架构的苹果A系列芯片,也在受影响
Nagios是应用广泛的一种免费开源的IT 监控软件,能够监控几乎所有类型的组件,例如应用程序、网络协议、Web服务器、操作系统、系统指标、网站,中间件等。一旦被恶意利用,不法分子可以攻击基础设施。新思科技网络安全研究中心发现Nagios XI存在三个漏洞,包括SQL 注入、跨站脚本漏洞以及路径遍历导致任意文件删除。 Nagios XI是一款常用的应用程序、服务和网络监控软件,日前其被披露存在多个漏洞,包括SQL 注入、路径遍历以及跨站脚本漏洞,在通用漏洞披露库中编号分别为CVE-2021-33177、 CVE-2021-33178及 CVE-2021-33179 。 概述 新思科技网络安全研究中心(CyRC)研究人员
继苹果(Apple)旗下iPhone、iPad系列产品陆续搭载指纹辨识功能,Google阵营亦打算跟进,尽管不少芯片厂积极投入指纹辨识芯片市场,但实际具备出货能力的业者并不多,2014年下半年两岸IC设计业者争相宣布推出新一代指纹辨识芯片解决方案,然目前终端品牌客户似乎仍优先采用国际大厂指纹辨识芯片,两岸IC设计业者要吃到这块大饼,恐怕还得再等等。 IC设计业者指出,联发科手机芯片平台人员自2013年底便在全球不断寻找具潜力的指纹辨识芯片合作伙伴,拜访过数10家芯片开发商,在遍寻不到成熟的指纹辨识芯片解决方案下,最后由转投资的汇顶科技亲自操刀,并在2014年下半推出相关指纹辨识芯片,将应用在新一代手机芯片平台,预期
360安全中心今天发布红色警报称,由于国内运营商对部分地区的GSM制式的数据通信没有加密,黑客可以监听自己所在基站覆盖范围内所有GSM制式手机的通信内容。一旦手机短信内容被黑客获取,手机号码所绑定的网上支付、电子邮箱、聊天账号等重要账户将全部面临被盗风险。 GSM 是全球应用最广泛的移动电话标准,在中国更是占据主流地位,中国移动、中国联通的2G网络手机都是基于GSM数字移动通信标准,GSM通信漏洞的影响范围和危害程度也空前严重。 根据网上曝光的黑客攻击方法:只要使用特定设备和开源的GSM协议栈代码及数据包分析软件,黑客能够嗅探到附近所有GSM手机的通信内容,并根据短信中发件人号码和内容进行筛选,因此该漏洞很可能被黑
智能门锁是智能家居的一个发展热点。近几年,各种指纹锁、人脸识别门锁纷纷走入大众的日常生活中,成为家装的新宠。其中,智能蓝牙门锁是其中一个热门产品类别,特别是中国投资超过1,500亿美元建立世界领先的家庭自动化行业,大力推动了市场增长。 近日,超低功耗(ULP)射频专家Nordic Semiconductor宣布以韩国首尔为基地的跨国三星集团的子公司Samsung SDS在其SHP-DP930智能门锁中选用Nordic屡获殊荣的nRF52832低功耗蓝牙 (Bluetooth® Low Energy /Bluetooth LE)系统级芯片(SoC)。 这种“推拉式”智能门锁是三星SDS面向亚洲和大洋洲地区的智能门锁系列中的
,用户可用手机监控 /
本文介绍了一个具有动态过流检测功能的智能门锁电机驱动集成电路(IC)设计方案,该设计可支持不同的电源电压和负载。 目前,大多数智能门锁使用电池供电。电池使用寿命通常约为6个月,最长可达一年。电池使用寿命的长短取决于所使用的无线技术(Wi-Fi、蓝牙、ZigBee)以及门锁开和关的频率。 本设计示例中的电机采用四节AA电池供电。 智能门锁制造商使用不同的方式来检测锁舌打开或关闭的完成状态:限位开关、固定在轴上的加速度计、霍尔传感器和齿轮上的磁铁组等。它们都需要相应的外部组件和电机驱动IC。 锁舌位置检测方案之一是测量电机电流,当锁舌锁定时关闭电机,同时电机电流也上升到定义的阈值(见图1)。这种方法不需要额外的组件。不
电机驱动IC设计方案 /
杭州晟元芯片技术有限公司是中国大陆第一家成功推出指纹识别SOC芯片的公司,也是唯一一家能同时提供指纹识别芯片、电脑安全芯片和电子签名芯片的公司。近期该公司推出的双认证信息安全芯片在业界引起强烈的反响,使用过该芯片的厂商都表示该芯片无论从芯片的稳定性还是安全性都是堪称一流的!带着一系列的问题,记者走访了晟元芯片的总经理邱柏云先生。邱柏云总经理是业界有名的指纹识别专家,曾经发明了全球第一个指纹识别算法,全球第一个基于DSP的指纹识别模块,领导开发了全球第一款基于DSP的指纹数字签名器。 记者:邱总能给我们介绍一下贵公司目前的发展情况吗? 杭州晟元芯片技术有限公司邱柏云总经理 邱总
识别 倡导信息安全 /
家居产品 从设计到运营
有奖直播 是德科技 InfiniiMax4.0系列高带宽示波器探头新品发布
MPS电机研究院 让电机更听话的秘密! 第一站:电机应用知识大考!跟帖赢好礼~
随着软件日益复杂,并且车载系统和传感器数量稳步增加,车内系统的通讯成几何增长,必须加强密码保护。这种保护可以通过经典的实时汽车开放 ...
1、大模型技术的盛行对智能驾驶域控器领域的技术要求与挑战?大模型技术确实给智能驾驶域控器领域带来了新的要求和挑战。例如Tesla的感知算 ...
一 先导与重点文章主要介绍自动驾驶技术中几种常用的坐标系统,以及他们之间如何完成关联和转换,最终构建出统一的环境模型。这里重点理解 ...
关于汽车电控系统,它其实并不是新能源电动汽车专有的,燃油车同样具备,只不过新能源电动汽车的电控系统更加的复杂,也更强大。汽车电控系 ...
01 论过往新能源汽车向着高功率密度和高可靠性的方向发展,为了满足这方面的需求,功率模块无论从电气性能(Si基和WBG材料的芯片)还是 ...
站点相关:嵌入式处理器嵌入式操作系统开发相关FPGA/DSP总线与接口数据处理消费电子工业电子汽车电子其他技术存储技术综合资讯论坛电子百科