今天，三星被曝出非常严重的指纹安全问题，在全世界引起了不小的震动。 甚至包括中国银行、支付宝、微信在内的多家国内外金融机构都直接停止了部分三星手机的指纹识别。 支付功能。

三星的指纹有什么问题？ 这背后的理由是什么？

❶

干净的水套可能会损坏它

超声波指纹？

事情的经过是，一对来自英国的夫妇买了一部三星S10手机，立即套上双面橡胶的防水壳来保护手机。 后来发现，除了录入指纹的情侣外，任何人的指纹都可以解锁手机，并且可以随意登录包括网银在内的软件。

在核实整个事情之前，我想先投诉一下。 这并不是说我目光短浅。 这种正反两面的清水盖还是第一次见。 我也在淘宝上查了一下，没有找到类似的产品。 相信国内用户应该不会多用。 这也解释了网上诸如“谁会把清水贝壳放在前面？”等诸多声音。 这些人估计没仔细看原视频。

其实，发生在这对英国夫妇身上的事情很容易重现：手机将表壳的图案记录为指纹，当大家稍后按下时，手机就识别出了清水表壳的图案。 我们也在同样的情况下重现了这种情况。

值得一提的是，录入过程非常痛苦，每次按下去手指都会变白。 我真的很佩服这两对夫妻。

如果事情仅仅到此为止，或许可以说大家都陷入了恐慌，但接下来事情发生了变化：很多三星手机用户表示，有了水壳的帮助，他们可以不用手指注册指纹就可以打开手机。

如果这是真的，那就是一个大问题了！

已经在线上成功使用，比较有代表性的一些案例包括：

韩国推特用户@

锚 @

国内B站UP主@

国内媒体@差评王

其中@还给出了非常具体的繁殖条件，如下：

另外，@还表示“屏幕越脏越好，外壳越脏越好”，然后“第一次用外壳盖住屏幕解锁，只要不随意移动箱子，其他手指就可以解锁。”

重现案例的方法比较简单。 只需戴上外壳并点击屏幕即可。 他说，“输入的指纹越多，就越容易成功。”

我尝试了一下午这些用户的破解方法。 条件包括：

·输入1个指纹和4个指纹两种极端情况；

· 采用“大颗粒清水壳”、“小颗粒清水壳”、TPU薄膜三种材质；

· 使用三种按压压力：“蜻蜓触摸”、“普通”和“指白”；

· 使用已采集指纹的手指和未采集指纹的手指进行多次尝试。

均未复现成功（用已登记指纹的手指可以正常解锁胶片），手机一直提示“不匹配”。 唯一的好处就是按起来会痛。

所以这里不敢妄下断言，但是从中国银行等专业金融机构的风控措施来看，这套超声波指纹识别系统确实存在问题。 三星也对此事做出了回应，表示这确实是一个漏洞，将在本周内发布修复补丁，并希望用户停止使用“非官方配件”。

❷

三星指纹识别

有什么问题？

我们都知道，相比密码，以指纹为主导的生物识别确实可以简化解密步骤，让手机的日常使用更加快捷方便。 但与可更改的密码相比，生物特征一旦破译就无法更改，这也对厂商提出了更高的要求。

目前手机行业主要采用电容式、光学式和超声波式三种指纹传感器，以及基于细节点和基于纹理结构的两种指纹匹配算法。 但这些都难以实现“活体识别”这一小事。

这是一件小事，但对于尺寸如此有限的手机来说，实际上是非常困难的。

广东工业大学硕士王群峰在论文《指纹识别系统活体检测技术研究》中提到，目前业界主流的活体识别方式有：基于皮肤变形、汗液等。关于动态软件； 基于静态软件的特征（毛孔、纹理）和数据驱动（卷积神经网络CNN），以及同时使用的两种融合策略。

首先，手机的尺寸决定了屏幕识别模块无法添加温度等传感器； 其次，功耗限制也会限制指纹模块的功能。 目前业界唯一相对可靠的活体检测机制是电容式指纹模块，目前主要应用于中低端手机。 破解方法也比较简单。 只需在树脂中添加少量导电金属粉末即可。

然而，在全面屏时代大放异彩的屏下光学和超声波指纹识别目前却很难检测到活体。 这是由于识别机制造成的。

另外，由于手机上的指纹识别模块需要迎合更广泛的手机用户，因此需要调和识别率与通过率之间的矛盾：识别准确率过高、用户的单一性等。成功率降低，用户体验差； 准确率调得太低将无法起到加密的作用。

这在业界称为真拒绝率FRR和误识别率FAR。 这两个等价物的焦点是平均错误率 EER。 这三者可以用来衡量一款指纹识别产品的综合体验。

如果你还记得的话，三星S10系列刚推出的时候，超声波指纹识别是一塌糊涂。 最大的原因是识别准确率太低。 至少需要两三次才能完成识别； 而且随着一次又一次的更新，这套指纹识别系统的体验，尤其是准确度，也在不断的提升。

那么问题来了，为什么三星能够在不改变硬件的情况下提高识别精度呢？

我推测，只是推测，三星提高了EER，从而提高了指纹识别的容错率。 这确实提高了用户体验，但也降低了指纹识别的安全性。

从这次清水盖事件来看，如果我的猜测属实，三星可能已经将识别概率“优化”到了很低的阈值。 要知道S10刚发布的时候，需要配备“原厂膜”才能实现正常的指纹识别。

另外，虽然是猜测，但我也想到了一种“证伪”的方法：三星修复推送实施后，如果指纹识别变得像以前一样难用，我也可以从一个方向印证我的猜测。

❸

总结

作为一项关系到安全尤其是支付安全的技术，指纹识别的安全性应该是无条件的重中之重。 用户体验之间的权衡只能在保证足够安全的前提下进行。 安全应该被视为一个原则问题。 虽然三星及时提出修复，但应该说，在未曝光之前就让用户在危险的情况下使用，是一种不负责任的行为。

目前，中国银行等企业的举动可谓是有准备、认真负责，值得点赞。

不过，目前整个事情还没有最终定论，更多情况还有待探讨。 希望三星能够像电池爆炸事件一样，给出一个明确的理由。 否则，如果正面出现电池爆炸、背面出现指纹漏洞，三星失去全球最大份额的日子就不远了。

撰稿：凯伦

编辑/凯伦