[問題] Android 指紋辨識是否會儲存原始圖像?
剛剛跟朋友聊到手機上的指紋辨識系統,
突然想到 Android 上的指紋辨識系統是否會儲存原始資料。
查了一下資料,目前只有看到蘋果在 Touch ID 白皮書中提到:
Touch ID 安全性
https://support.apple.com/zh-tw/guide/security/sec0f02a0f7f/web
執行向量化以進行分析時,光柵掃描會暫時儲存在「安全隔離區」的加密記憶體中,然後便會遭捨棄。此分析利用皮下指紋紋路角度對應,這是一種有損性的程序,重建使用者實際指紋所必需的精細資料會在分析完成後刪除。最後產生的節點圖會以一種只能由「安全隔離區」讀取的加密格式進行儲存,其中不含任何身分資訊。此資料絕對不會流出裝置,不會傳送給 Apple,也不會納入裝置備份中。
指紋紋路角度對應
從指紋的一部分擷取出,描述紋路走向和寬度的數學表示資料。
同時在其他技術說明網站中也提到:
關於 Touch ID 進階安全技術
https://support.apple.com/zh-tw/HT204587
Touch ID 可以讀取多枚指紋,也能以 360 度方向讀取指紋。然後建立指紋的數學表徵,用來與您登記的指紋資料進行比對,比對成功後即會解鎖裝置。這只會儲存指紋的數學表徵,絕不會儲存手指影像本身。Touch ID 會隨著時間逐步更新登記指紋的數學表徵以改善比對的準確度。
.....
裝置中的晶片採用先進的安全架構,稱作 Secure Enclave,用以保護密碼和指紋資料。Touch ID 不會儲存您指紋的任何影像,而是單純依賴其數學表徵。他人無法藉由所儲存的資料,進行真實指紋影像的反向工程。
您的指紋資料會進行加密,存放在裝置上,並以一組只有 Secure Enclave 才能存取的金鑰加以保護。您的指紋資料僅供 Secure Enclave 使用,以驗證您的指紋與登記指紋資料是否相符。其無法透過裝置的 OS 或裝置上所執行的任何應用程式來存取。指紋資料絕不會存放在 Apple 伺服器上,也不會備份到 iCloud 或其他任何地方,而且無法用來與其他指紋資料庫進行比對。
蘋果強調 Secure Enclave 的指紋數學表示式無法逆推真實指紋圖樣。
而查了一下 Android 在這方面說明只有強調指紋辨識組件是獨立且經過加密的:
瞭解指紋功能的安全性
https://support.google.com/pixelphone/answer/6300638?hl=zh-Hant
使用指紋將手機解鎖雖然方便,但相較於複雜的 PIN 碼、解鎖圖案或密碼,指紋解鎖的安全性可能較低。
如果有人複製了您的指紋,就能將您的指紋圖樣用來解鎖。您接觸過的眾多物品 (包括手機) 都會留有您的指紋。
安全的儲存位置
指紋的擷取及辨識程序必須在硬體的安全元件 (可信任執行環境,簡稱 TEE) 中執行。
硬體存取範圍僅限於 TEE,並且受到 SELinux 政策的保護。
指紋資料必須妥善儲存在感應器硬體或可信任的記憶體內,讓其他人無法存取您的指紋圖樣。
安全的儲存及移除機制
檔案系統只能儲存經過加密的指紋資料 (即使檔案系統本身已加密也一樣)。
移除使用者時,必須同時移除裝置上的指紋資料。
啟用裝置的 Root 權限時,不得洩露指紋資料。
....
指紋樣板的驗證標準
Google 規定指紋樣板 (經過處理的原始指紋圖樣) 必須經過加密驗證。
指紋樣板必須由不公開的裝置專用金鑰 (例如金鑰雜湊訊息驗證碼 (HMAC)) 進行簽署,且金鑰至少必須包含檔案系統的絕對路徑、群組和手指 ID,藉此確保樣板檔案無法在其他裝置上使用,而且裝置共用對象也無法使用這些檔案。舉例來說,任何人都無法複製同一部裝置上其他使用者的指紋資料,也無法複製其他裝置上的指紋資料。
此外,還必須使用裝置專用的加密金鑰 (例如進階加密標準 (AES)) 來處理指紋資料,藉此確保其他裝置無法讀取原始指紋圖樣或指紋樣板。
但是沒有強調指紋樣板是否可以逆推原始指紋圖樣(或者本身就是指紋圖樣)
有沒有對這方面有了解的人知道各家 Android 手機裡面使用的指紋辨識,
是否也像蘋果依樣採用數學向量表示,
來避免資料被獲取之後仍能夠被逆向回推原始指紋圖樣?
個人感覺是即使是第二代 Touch ID,蘋果的辨識度跟成功率都遠低於 Android 手機,
估計是驗證過程中比對的採樣點較少所以成功率高很多(?
--
--
err 你指的圖樣是啥 圖片?
類似當年這種 HTC手機指紋檔案 遭爆未加密、易破解
https://news.ltn.com.tw/news/world/breakingnews/1408524(抱歉只記得 One Max 的新聞) 就是指手機在 TEE 安全區域裡面存的是可逆向工程的數學表示式, 還是掃進來一模一樣的指紋圖樣,主要是蘋果的 Secure Enclave 也被破解過, 所以好奇當 TEE 被破解時,裡面存的指紋資料如果不幸被讀取出來, 能否被逆向工程回推原始掃描的指紋圖案,還是無法逆向。 網路上的討論跟 Google 都表示 TEE 很安全不會被破解,資料一定拿不出來, 但是你我都知加密跟隔離只是增加被破解的成本,沒有絕對的安全XD
現在都有安全區 就是沒有user IO可以讀取的rom
而且也不是存圖片 是經過演算法計算並加密的特徵
照白皮書跟新聞稿的說法拿不出的,
我告訴你一個數字11,854,249,
請問它是哪些數字相乘得來的?
一定不會儲存原始圖片啊 但會有特徵點的資訊
照他的說明推斷指紋樣版應該是數學模型(理想上), 不過怎麼沒有廠商大肆宣傳,覺得奇怪 跟其他人討論後認為這個問題應該是由指紋辨識方案廠商那邊去負責, 大概也沒辦法很明確的告知實際上用甚麼算法@@
現在還存影像的也太low了吧xd,初期就算了
現在實在不可能存放完整圖像
也是,被發現大概被告到死
手機上的指紋從來就不是存圖像 擷取儲存比對太費時
存成圖片運算量應該更大吧
也是
Android CDD 和 SAC 有相關規範和認證測項
Make sure that raw biometric data or derivative
s (such as templates) are never accessible from
outside the sensor driver or secure isolated e
nvironment (such as the TEE or Secure Element).
這個在上面針對 Android 技術文件有提到
宣傳這個幹嘛 一般人又看不懂
幹嘛用指紋 很不安全 只要你的指紋被獲得 就能解鎖
你這種特別來問消費者都不一定懂了還要當宣傳
要不是效果差沒人懂就是被當成箭靶攻擊
資安是個非常深的坑 沒有絕對安全的東西
了解
使用特徵點經過演算法算出一串數字再傳去比對,你
拿這串數字也無法解出特徵點。
我猜大概是這樣,跟HASH類似。
可以逆推的話要金鑰幹嘛
所以大家都是認為特徵點比對而非原始資料 會開這篇主要是昨天被朋友問到然後我也不太確定所以上來問問看XD 剛剛餵狗一下好像找到我要的答案了 手機廠商如何保證指紋安全的?兼談供應鏈(可能為簡體中文網頁)
https://zhuanlan.zhihu.com/p/42527644用了這麼大篇幅苦口婆心講了指紋採集不會被駭客截獲,那指紋資訊的存儲是否安全呢? 首先,一台新手機拿到之後第一次開機會提示你錄入指紋,一般會要求錄入15次左右。每 錄入一次都會生成一個指紋範本,因此會生成15個指紋範本,作為後續指紋驗證的對比範 本。
這些指紋範本只是二進位資料,本身不是圖像。但的確可以通過指紋晶片廠商的特殊工具還原成指紋圖像。
※ 編輯: Lyeuiechang (36.233.103.24 臺灣), 02/04/2021 10:25:41
apple很會包裝,其實都一樣。
你的疑慮 首先 你要有辦法找到存取途徑 目前沒有
我知道你想站在一個指紋辨識不安全的立場探討
但無論是那一種生物辨識 都是將生物特徵加密演算
並將結果存在安全區裡
74
[討論] 側邊指紋設計是不是要崛起了??最近看新手機 發現Realme跟小米幾隻新機都是用側面指紋 Sony去年發的Xperia系列也是側面電源指紋 現在Apple 新的 iPad air 也把Touch ID整合到側邊電源鍵61
[問題] Sony手機 側邊指紋辨識 順暢性?如題所言 幾年前是使用Zenfone5z 背面指紋解鎖,使用下來相當實用方便 目前仍當作第二支手機在使用中 去年換了新的Zenfone8 (因為ASUS 用起來感受還不錯, 都沒有什麼奇怪問題, 也重來沒 有維修狀況過)9
Re: [討論] 螢幕下指紋這麼方便 蘋果在堅持什麼?不是堅持啊 是蘋果心中定位Touch ID是給低端產品用的 不然Face ID那麼優秀,怎麼後續新產品不全線實裝,提升用戶體驗 iPad系列就能看出來蘋果的邏輯 高端iPad Pro用Face ID2
[問題] 備份手機後,銀行APP不能用指紋解鎖機型:iPhone SE2 系統版本:13.4 問題描述: 舊iPhone的銀行APP都是用指紋解鎖, 因要換手機,我從電腦直接備份資料到新手機,1
[問題] Touch ID 設定指紋後幾天就辨識失敗機型名稱:iPad 9 系統版本: iPadOS 16 問題描述: 設定新的指紋以後,大概只有一兩天的時間,設備可以正確辨別指紋