2018年02月02日 | 智能指纹门锁听着很高大上，安全性怎么样？

一次意外的Home键摔裂，手机人人可解，是意外还是必然？多品牌手机出现相同症状，是小概率事件还是产品算法漏洞？相同问题只存在于一家芯片供应商还是普遍问题？

从微博的一则爆料开始，记者从2017年10月开始持续追踪手机指纹芯片漏洞问题，接连发出五篇相关报道，尤其是在2017年12月1日的《主流国产手机出现罕见漏洞 或波及上亿部手机》一文中，通过专家采访和亲自测试，最终明确：由于手机指纹识别领域普遍采用了全图像识别算法，而这种算法存在普遍性漏洞，一旦被有心人利用，手机指纹锁形同虚设，人人可解，波及厂商除了主流国产手机厂商外，甚至还有苹果。

系列报道见报之后，引起多方关注，《扬子晚报》、中央电视台等媒体多次跟踪报道，近期的一则央视报道中更是指出，不仅手机指纹芯片存在相同问题，相关指纹门锁具也有类似漏洞，这在智能锁具市场引发一阵喧哗。

为此，记者进一步采访解锁的操作者、锁具厂商和安全专家，在他们看来，报道中提到的解锁模式有相对特殊的操作场景，消费者不必过度恐慌，但同时，算法仅仅是智能锁开锁的一种方式，由于目前并无统一标准，同一款锁具采用的开锁方式越复杂，漏洞存在的概率就越高，因此提醒消费者，购买智能锁还是要尽量选择品牌产品。

指纹门锁也存在漏洞

“民以食为天，以居为安。”想要家里安全过得舒心，“门”的重要性往往摆在第一位。不过，常常忘带钥匙的尴尬，开始让锁具厂商寻求更便捷的开门方式，于是智能锁在家庭市场热了起来。

然而，便捷的同时，智能门锁真的安全吗？1月25日，CCTV-13新闻频道《指纹识别，当真安全吗？》的新闻中，除了指出手机存在安全漏洞，一张膜即可破解外，还展示了带指纹解锁的笔记本电脑以及指纹门锁被破解的画面。比起笔记本、手机等私人物品，消费者担心，裸露在外的指纹门锁带来的安全隐患更大。

视频中进行破解操作的是苏州迈瑞微电子有限公司工作人员，其董事长李扬渊在接受记者采访时透露了视频中指纹门锁的破解过程。新闻报道中，重点演示的安卓手机破解方法较为简单，只需要将膜贴上去之后，原主人解锁一次后，便能实现人人可解的效果，但是指纹门锁的破解过程相对复杂很多。

“贴膜之后还需要重新注册指纹，注册完成后再解锁几次，才能达到人人解锁的效果。”李扬渊表示，重新注册指纹是必要操作，不可省略。

这样破解方法与此前报道中iPhone被破解的方法类似，但是指纹门锁被破解的场景出现比较少。李扬渊坦承，相比手机，指纹门锁的攻击场景很少，因为家庭成员较为固定，二次录入指纹可能性较小。

无需恐慌，只是小范围警报

新闻报道中出现的这把智能门锁是通过淘宝购买，售价因材质不同，分为799元至999元不等。通过商品详情页可以看到，这把号称德国品质，应用半导体指纹识别的智能门锁，是采用RISC处理器内核，并集成了指纹算法专用硬件电路。

通过拆解，李扬渊发现这把锁采用的是比亚迪芯片，兆易创新的单片机，但是模块商没有打标，“无法确定模块厂商，就很难判定出现该问题的源头在哪里，但可以确认的是，算法的最后一层判决出了差错。”

指纹识别算法是一套流程框架下的各个环节算法组合实现的综合模型。总体来说，分为图像增强、几何配准和打分裁决三个环节。指纹门锁的贴膜破解法，针对的是判决环节漏洞。“如果从结果倒推，可能存在好几种情况，有可能是采用了图像算法，又或者是传统指纹特征点算法水平不高，”李扬渊表示，“指纹特征提取实现不好，比如说伪细节特别多，最终判定是否开锁时，有可能只识不别。”

与手机内部容量有限不同，主流的指纹门锁搭载的传感器面积至少是手机芯片的2倍以上。指纹门锁的算法方案大部分以传统利用指纹特征的算法为主，为了提高解锁速度与体验，部分算法厂商会采取传统算法与全图像算法相结合方案。

指纹门锁算法提供商上海图正董事长刘君分析，“现在指纹门锁考虑到商业办公的需要，可容纳指纹至少都在百枚以上。而全图像算法做不到这一点。”他认为，由于全图像算法对CPU芯片性能要求高，很难瞬间进行大量的运算，在1秒的时间里比对上百枚指纹，所以指纹门锁很少采取全图像算法解决方案。如果该漏洞确实因全图像算法导致，刘君认为用户不必担心，主流传统的厂商并不会纯粹只采取全图像算法解决方案。

李扬渊也表示，只实验了一把门锁就发现了这个漏洞，没有做普遍调查，而且攻击场景也有限，“所以只是小范围警报。”

消费提醒：尽量选择知名品牌

不过，尽管指纹门锁芯片厂商认为，指纹被破解的大范围概率并不存在，但这并不意味着，人们对智能锁可以有足够的乐观。

1月30日，记者走访了百安居、红星美凯龙家居城，市场上在售的指纹门锁大多在2000元以上，类似李扬渊破解的那种智能门锁，线下门店几乎没有销售。但在淘宝、京东等电商平台上，打着智能门锁旗号的店铺有上千个，而且价格差异明显，销量靠前的多为千元以下的智能门锁。

“指纹门锁市场鱼龙混杂，参差不齐，消费者靠直观分辨是否安全难度很大。” 某从事公安科学技术研究的人员告诉记者，“京东、天猫也曾想给上线门锁产品提一个标准，让消费者可以明确选择，但是了解下来很难做评估，只能去检测。目前，智能门锁没有强制性的检测要求，所以很多厂商并不会送去专门机构检测。”

目前市面上常见的智能门锁往往拥有多种开锁方式：指纹、IC卡、密码、钥匙等四种是常见的配置，而算法仅仅是存在指纹这一种方式上的漏洞。业内专家表示，虽然前文报道中提到的安全隐患无需太多的担忧，但需要重视的是智能门锁的整体安全，复制IC卡、破解密码、黑客攻击联网门锁等等，都很可能比算法破解要容易得多。

由于大部分智能锁仍然具备机械锁芯，目前智能锁唯一强制性执行的标准是国内机械锁执行的标准为《 GA/T 73-2015》，其中明确指出中国机械锁分为ABC三个等级，等级之间的差异在于开启时间的长短。

“没有绝对安全的锁具，只有锁具的抵抗能力强弱。”业内专业人士对消费者建议，虽然价位高的门锁并不一定能代表性能好、安全级别高，但价格便宜的门锁，存在核心算法简单、误识别率高、锁体强度低等风险的概率较大，综合各方面情况来看，消费者在购买智能门锁时要尽量选择知名品牌。