智能指紋門鎖到底安全嗎？

一次意外的Home鍵摔裂，手機人人可解，是意外還是必然？多品牌手機出現(xiàn)相同癥狀，是小概率事件還是產(chǎn)品算法漏洞？相同問題只存在于一家芯片供應商還是普遍問題？

從微博的一則爆料開始，《IT時報》記者從2017年10月開始持續(xù)追蹤手機指紋芯片漏洞問題，接連發(fā)出五篇相關報道，尤其是在2017年12月1日的《主流國產(chǎn)手機出現(xiàn)罕見漏洞或波及上億部手機》一文中，通過專家采訪和親自測試，最終明確：由于手機指紋識別領域普遍采用了全圖像識別算法，而這種算法存在普遍性漏洞，一旦被有心人利用，手機指紋鎖形同虛設，人人可解，波及廠商除了主流國產(chǎn)手機廠商外，甚至還有蘋果。

系列報道見報之后，引起多方關注，《揚子晚報》、中央電視臺等媒體多次跟蹤報道，近期的一則央視報道中更是指出，不僅手機指紋芯片存在相同問題，相關指紋門鎖具也有類似漏洞，這在智能鎖具市場引發(fā)一陣喧嘩。

為此，《IT時報》記者進一步采訪解鎖的操作者、鎖具廠商和安全專家，在他們看來，報道中提到的解鎖模式有相對特殊的操作場景，消費者不必過度恐慌，但同時，算法僅僅是智能鎖開鎖的一種方式，由于目前并無統(tǒng)一標準，同一款鎖具采用的開鎖方式越復雜，漏洞存在的概率就越高，因此提醒消費者，購買智能鎖還是要盡量選擇品牌產(chǎn)品。

指紋門鎖也存在漏洞

“民以食為天，以居為安�！毕胍�家里安全過得舒心，“門”的重要性往往擺在第一位。不過，常常忘帶鑰匙的尷尬，開始讓鎖具廠商尋求更便捷的開門方式，于是智能鎖在家庭市場熱了起來。

然而，便捷的同時，智能門鎖真的安全嗎？1月25日，CCTV-13新聞頻道《指紋識別，當真安全嗎？》的新聞中，除了指出手機存在安全漏洞，一張膜即可破解外，還展示了帶指紋解鎖的筆記本電腦以及指紋門鎖被破解的畫面。比起筆記本、手機等私人物品，消費者擔心，裸露在外的指紋門鎖帶來的安全隱患更大。

視頻中進行破解操作的是蘇州邁瑞微電子有限公司工作人員，其董事長李揚淵在接受《IT時報》記者采訪時透露了視頻中指紋門鎖的破解過程。新聞報道中，重點演示的安卓手機破解方法較為簡單，只需要將膜貼上去之后，原主人解鎖一次后，便能實現(xiàn)人人可解的效果，但是指紋門鎖的破解過程相對復雜很多。

“貼膜之后還需要重新注冊指紋，注冊完成后再解鎖幾次，才能達到人人解鎖的效果�！崩顡P淵表示，重新注冊指紋是必要操作，不可省略。

這樣破解方法與此前《IT時報》報道中iPhone被破解的方法類似，但是指紋門鎖被破解的場景出現(xiàn)比較少。李揚淵坦承，相比手機，指紋門鎖的攻擊場景很少，因為家庭成員較為固定，二次錄入指紋可能性較小。

無需恐慌，只是小范圍警報

新聞報道中出現(xiàn)的這把智能門鎖是通過淘寶購買，售價因材質(zhì)不同，分為799元至999元不等。通過商品詳情頁可以看到，這把號稱德國品質(zhì)，應用半導體指紋識別的智能門鎖，是采用RISC處理器內(nèi)核，并集成了指紋算法專用硬件電路。

通過拆解，李揚淵發(fā)現(xiàn)這把鎖采用的是比亞迪芯片，兆易創(chuàng)新的單片機，但是模塊商沒有打標，“無法確定模塊廠商，就很難判定出現(xiàn)該問題的源頭在哪里，但可以確認的是，算法的最后一層判決出了差錯。”

指紋識別算法是一套流程框架下的各個環(huán)節(jié)算法組合實現(xiàn)的綜合模型�？傮w來說，分為圖像增強、幾何配準和打分裁決三個環(huán)節(jié)。指紋門鎖的貼膜破解法，針對的是判決環(huán)節(jié)漏洞�！叭绻麖慕Y果倒推，可能存在好幾種情況，有可能是采用了圖像算法，又或者是傳統(tǒng)指紋特征點算法水平不高，”李揚淵表示，“指紋特征提取實現(xiàn)不好，比如說偽細節(jié)特別多，最終判定是否開鎖時，有可能只識不別�！�

與手機內(nèi)部容量有限不同，主流的指紋門鎖搭載的傳感器面積至少是手機芯片的2倍以上。指紋門鎖的算法方案大部分以傳統(tǒng)利用指紋特征的算法為主，為了提高解鎖速度與體驗，部分算法廠商會采取傳統(tǒng)算法與全圖像算法相結合方案。

指紋門鎖算法提供商上海圖正董事長劉君分析，“現(xiàn)在指紋門鎖考慮到商業(yè)辦公的需要，可容納指紋至少都在百枚以上。而全圖像算法做不到這一點。”他認為，由于全圖像算法對CPU芯片性能要求高，很難瞬間進行大量的運算，在1秒的時間里比對上百枚指紋，所以指紋門鎖很少采取全圖像算法解決方案。如果該漏洞確實因全圖像算法導致，劉君認為用戶不必擔心，主流傳統(tǒng)的廠商并不會純粹只采取全圖像算法解決方案。

李揚淵也表示，只實驗了一把門鎖就發(fā)現(xiàn)了這個漏洞，沒有做普遍調(diào)查，而且攻擊場景也有限，“所以只是小范圍警報。”

消費提醒：盡量選擇知名品牌

不過，盡管指紋門鎖芯片廠商認為，指紋被破解的大范圍概率并不存在，但這并不意味著，人們對智能鎖可以有足夠的樂觀。

1月30日，《IT時報》記者走訪了百安居、紅星美凱龍家居城，市場上在售的指紋門鎖大多在2000元以上，類似李揚淵破解的那種智能門鎖，線下門店幾乎沒有銷售。但在淘寶、京東等電商平臺上，打著智能門鎖旗號的店鋪有上千個，而且價格差異明顯，銷量靠前的多為千元以下的智能門鎖。

“指紋門鎖市場魚龍混雜，參差不齊，消費者靠直觀分辨是否安全難度很大�！� 某從事公安科學技術研究的人員告訴記者，“京東、天貓也曾想給上線門鎖產(chǎn)品提一個標準，讓消費者可以明確選擇，但是了解下來很難做評估，只能去檢測。目前，智能門鎖沒有強制性的檢測要求，所以很多廠商并不會送去專門機構檢測�！�

目前市面上常見的智能門鎖往往擁有多種開鎖方式：指紋、IC卡、密碼、鑰匙等四種是常見的配置，而算法僅僅是存在指紋這一種方式上的漏洞。業(yè)內(nèi)專家表示，雖然前文報道中提到的安全隱患無需太多的擔憂，但需要重視的是智能門鎖的整體安全，復制IC卡、破解密碼、黑客攻擊聯(lián)網(wǎng)門鎖等等，都很可能比算法破解要容易得多。

由于大部分智能鎖仍然具備機械鎖芯，目前智能鎖唯一強制性執(zhí)行的標準是國內(nèi)機械鎖執(zhí)行的標準為《 GA/T 73-2015》，其中明確指出中國機械鎖分為ABC三個等級，等級之間的差異在于開啟時間的長短。

“沒有絕對安全的鎖具，只有鎖具的抵抗能力強弱�！睒I(yè)內(nèi)專業(yè)人士對消費者建議，雖然價位高的門鎖并不一定能代表性能好、安全級別高，但價格便宜的門鎖，存在核心算法簡單、誤識別率高、鎖體強度低等風險的概率較大，綜合各方面情況來看，消費者在購買智能門鎖時要盡量選擇知名品牌。