一、概述

　　随着手机功能越来越多，其在我们生活中扮演的角色也越来越重要，除了保存传统的通讯录、短信、照片等个人隐私，现在的手机还是一个支付工具，如果手机被盗用，手机锁屏密码就是保证大家数据和资金安全的第一道屏障。我们最近也研究和总结了一些解锁手机的新老姿势的安全性，在此分享给大家，欢迎大家上车一起交流。

　　本次测验的手机包含了苹果，三星，华为，小米，VIVO，Google，OnePlus，乐视等品牌的热销型号手机，测验的解锁姿势主要有以下5种：

1.手势/PIN码解锁
2.蓝牙设备解锁
3.指纹解锁
4.人脸解锁
5.虹膜解锁

　　测验结果表明，以上的解锁姿势都存在一定的安全风险。

　　二、手势密码/PIN码解锁

　　在传统角度上来说，手势/数字密码是最安全的解锁手机姿势，一般的4-6位数字或图形密码结合错误次数限制，可以有效的防止攻击者通过暴力pojie等方式（当然通过刷机重置系统或非通用漏洞绕过不在讨论范围内）。虽然很难绕过此类姿势，但我们还可以想想如何在已经解锁的状态去清除密码。

　　我们团队的安全研究员Xbalien在研究后发现了一个影响Android7.0及7.1的通用手势密码/pin码清除的漏洞，而条件就是只需要在解锁状态下安装运行一个APP或开启ADB调试即可清除已设置的密码（如上图一）。

　　在Android7.0及7.1系统中，系统导出了一个选择解锁方式的系统组件，第三方使用可以调用此接口发送特定参数的Intent即可关闭所有锁屏认证功能，包含手势密码/PIN码/指纹等等。现在谷歌已经确认为中危并在新版本中修复了此漏洞（CVE-2017-0704），详见谷歌2017年7月Android安全公告。

　　除此之外，德国斯图加特大学的一个团队的研究报告指出，由于人体手指温度与手机屏幕温度存在一定温差，可以运用红外热成相相机能够拍摄出手指点击或滑动过程中产生的细小温差，从而pojie输入的手机锁屏密码（如上图二）。

　　不过经我们实际测验，距离，成相像素，手机与人体温差，输入时间，都会影响拍摄效果，在日常生活环境中很难运用热成像仪还原出手指操作的轨迹。比如我们运用seek thermal xr 热成仪（辨别率为206*156像素），拍摄距离屏幕20-30cm的范围内手指长按屏幕5秒后得到的照片（上图三），也只能分辩一个比周边屏幕稍亮的点，如果按正常速度解锁，几乎拍摄不到任何解锁轨迹，所以说这种方式离实际利用还是比较遥远的。

　　三、蓝牙设备解锁

　　早在2104年小米手环一代上市，小米就专门为小米手环在MIUI中开发了一个新功能叫做手环解锁，随后谷歌在Android5.0及以上版本的的GooglePlay组件中也加入了一个smartLock功能（上图四），支持蓝牙设备/地理位置/人脸解锁功能。而华为从EMUI3.1也开始引入智能解锁功能，支持手机在连接信任的蓝牙设备时无需密码直接解锁。在一段时间的测验后，我们发现华为的智能解锁功能存在漏洞可被利用于绕过手机锁屏密码。

　　华为EMUI在系统设置“锁屏与密码”中存在一个“智能解锁”功能，支持运用手环等蓝牙设备解锁，其中主要实现代码位于com.huawei.trustagent包中。主要原理为当用户开启智能解锁功能后，可选择添加可信手环设备，添加成功的手环设备MAC地址添加到白名单中。之后当手机亮屏时，后台会自动检测当前手机连接的蓝牙设备MAC地址是否在白名单中且信号强度(rssi)是否在指定范围内，如果符合特定条件则自动免密码解锁。

　　一看到单纯的MAC地址白名单机制，老司机们都会想到各种“猥琐流”思路去绕过白名单。了解蓝牙设备的同学应该知道部分蓝牙芯片厂商的的设备MAC地址是可以直接任意修改的，同时手环设备MAC地址是公开信息，所以攻击者可以修改蓝牙USB dongle的MAC地址并主动查询手机蓝牙提供的服务项，此时蓝牙usb dongle并没有与手机成功配对，但已经建立连接，从而可以直接绕过手机锁屏密码（如上图五）。

　　而之前说到的Google的SmartLock功能在刚上线也出现过相似漏洞，Google的修复方案是在解锁时检测当前连接的蓝牙设备是否已经配对成功，小米手环则在固件中自定义一个蓝牙profile在解锁前与手机通信进行身份校验（这也是小米蓝牙解锁只支持小米手环的部分原因）。 现在华为已经致谢并修复此漏洞，CVE编号为CVE-2017-2728，详见华为PSIRT安全公告，后续对于这类涉及智能设备的系统漏洞我们也会继续保持关心。

　　四、指纹识别技术解锁

　　2013年苹果发布了第一款按压式指纹识别技术的手机—iPhone5S，之后指纹识别技术几乎是所有旗舰手机的标配，而随着技术的成熟与成本的下降，现在更是普及到了百元机标配。从手机指纹识别技术技术原理上来看，主要有以下三种方案：

　　1.电容指纹识别技术

　　最早也是使用最广当属电容指纹识别技术，现在苹果iPhone全系及大部分安卓手机都运用了这种技术的芯片。其主要原理是利用硅晶元与导电的皮下电解液形成电场，指纹的高低起伏会导致二者之间的压差出现不一样的变化，借此可获得准确的指纹图像。

　　2.超声波指纹识别技术

　　小米5S与乐视乐Max Pro均运用了高通的超声波指纹识别技术芯片，它的原理是通过超声波信息反射来感应指纹形态，能穿透玻璃、金属表面，因此，这项技术不需要集成在Home按键上同时还能搞定湿手情况下的电容指纹识别技术不灵敏的问题。而在6月28号的上海MWC2017大会上VIVO还联合高通发布了第三代超声波指纹识别技术技术，直接将指纹识别技术功能集成在屏幕内，并支持水下操作和心率检测。

　　3.屏下光学指纹识别技术

　　早在3月巴塞罗那MWC2017展会上，国内的汇顶科技展示了一项的“In-Display fingerprint”光学指纹识别技术技术，直接将指纹识别技术功能集成在手机屏幕幕幕中，吸引了不少消费者的关心。其原理主要是借用手机屏幕幕幕自身的光源，将指纹反射到屏幕内部的感应器，结合芯片与软件算法获得指纹图像。而苹果之前也申请了一项利用红外光与传感器实现的相似屏下光学指纹识别技术方案，所以从现在消息来看iPhone8可能会成为上此这项技术的首发机型。

　　在指纹识别技术安全方面，国内外已经有不少这方面的研究，如上图九，在2014年德国CCC黑客大会上研究员Starbug从德国国防部长一张看似普通的新闻照片中成功提取出了其指纹图案，然后大家可能会想起电影里的用胶带复制玻璃杯上的指纹绕过指纹门禁（一般为光学指纹识别技术）的方式，不过在这想和大家说的是由于复制的只是平面的指纹图像且胶带并不导电，这种方式并不适于主流的电容式指纹识别技术手机。

　　不过极客们又想到了另一种方式，也就是所谓的电容指纹膜。通过混合电容液与电容材料,得到可以导电的指纹套,当套有人手指的指纹套放在电容传感器上时,可产生与原版手指相同的电容值从而被电容指纹芯片成功识别。借助于万能的淘宝，我们只需要40元就能买到一套完整的指纹复制工具，以上就是我们制作一个电容指纹膜，测验可以成功解锁iPhone7/iPhone6s/Google Pixel/小米Mix/OnePlus2/Vivo Xplay5等手机（如下图十）。

　　对于超声波指纹识别技术来说，由于电容硅胶等物体的反射的声波与人体皮肤并不一致，所以用电容硅胶或其它物体复制的指纹是无法被识别的，而高通的第三代超声波指纹识别技术技术还加入了心跳/血液检测，所以理论上来说超声波指纹识别技术安全性要高于电容式指纹识别技术。屏下光学指纹识别技术由于暂无实际产品正式发布，安全性还暂时无法判定。

　　为了提升指纹识别技术安全性，一些厂商推出了新的活体指纹识别技术与3D指纹识别技术方案，活体指纹识别技术（如金立M2017）在原有的指纹识别技术的同时检测了心率，肤色。3D指纹识别技术（如华为Mate9）则在原有的表层指纹识别技术基础上加以改进，使电信号直抵真皮层，读取深层指纹。这两种方案都可以搞定现在常见的指纹复制带来的风险，但日后是否还会出现新的对抗方式还有待研究。

　　五、人脸识别技术解锁

　　人脸识别技术技术作为使用最广范的生物识别技术也最容易被pojie。和其他的生物特征相比,人脸特征是最容易获得的,伪造者可以通过网上搜索、偷拍等途径获得用户脸部照片或视频。因此针对人脸识别技术认证系统的欺骗手段一直是人脸识别技术系统所面对的主要问题。

　　常见的绕过人脸识别技术的主要有方式有： 1.人脸照片： 拍摄二维平面图像人脸; 2.人脸视频：利用软件模拟或偷拍方式生成的动态人脸视频，具有眨眼等运动信息以及表情信息,; 3.立体人脸模型：通过对人脸进行3D建模并打印实物；

　　由于手机设备的能耗与体积限制，现在手机上的人脸识别技术大多依靠的只是一个普通的前置摄像头，我们之前实测三星S8的人脸解锁用一张照片进行移动即可解锁，而在S8最近的更新中，三星已经提升人脸识别技术算法的准确性，测验已经无法通过照片解锁手机。

　　在手机端针对人脸照片的活体检测技术主要有眨眼生理行为检测等;针对人脸视频与立体人脸模型的活体检测技术主要有结合特定唇语/语音识别,特定行为交互等需要用户配合的交互手段及近红外人脸识别技术技术等。下图为部分厂商所运用的人脸识别技术活体检测方式：

　　六、虹膜识别解锁

　　三星在Note7上首发了手机虹膜解锁功能，由于之前的爆炸门事件，这项技术在最新的三星S8上才被大家所熟悉。说到其原理，首先需要知道的是人的眼睛结构由巩膜、虹膜、瞳孔晶状体、视网膜等部分组成。虹膜是位于黑色瞳孔和白色巩膜之间的圆环状部分，其包含有很多相互交错的斑点、细丝、冠状、条纹、隐窝等的细节特征，一般用红外光才可以拍清楚完整的虹膜细节。由于虹膜特征点远多于指纹且难以复制，理论上虹膜识别安全性要高于指纹识别技术。

　　三星所采用的是斯坦福研究院旗下的Princeton Identity公司提供的虹膜识别模块，其通过正面屏幕上方的850nm 的LED红外补光灯+红外摄像头，可以在近距离(20-30cm)拍摄到运用者虹膜红外图像并提取特征点与已有图像进行对比判断其身份。而在今年德国一个”CCC“黑客俱乐部会议上，之前用公开照片复制了德国国防部长指纹的黑客小哥告Starbug诉了我们虹膜识别是一样能够用相机拍照去pojie的。

　　这个安全热点之前也被大部分媒体报道过，主要的pojie过程大概是这样的：

1.用一台相机拍摄眼部照片；
2.用激光打印机打印眼部虹膜细节照片；
3.贴上隐形眼镜；
4.拿上照片就能成功通过虹膜识别。

　　而在实践之后我们发现事实上并没有这么简单，正如三星官方所回应的，现在市面要想找到一部能拍摄到清晰的虹膜细节的相机太难了。在试过了手机，单反，单反+滤镜，红外夜视撮像头后，均没能拍到清晰的虹膜照片。于是我们在万能的淘宝上买了一部Starbug所用的同款古董级SONY DSC-V1红外夜视相机（2003年产），苦于其500万像素值及本身对焦素质，我们测验了多次仍没拍到一张能通过三星的S8虹膜解锁的清晰虹膜照片。

　　此外根据相似原理，我们还可以用人造眼，定制隐形眼镜去模拟指定虹膜pojie虹膜解锁，不过最难的部分始终还是如何先取到清晰的虹膜图像。

　　七、总结

　　上文中说的各种解锁姿势其实只是移动端身份认证方式的一部分，这些解锁姿势同样广范用于支付认证/实名认证等领域，从现在趋势上来看，生物识别技术可能将成为未来主流的身份认证手段。

　　而从安全性方面考虑，相比传统的密码认证与设备认证方式，生物识别技术其实适合用于身份识别（identification）而不是身份认证（authentication），像指纹，虹膜等识别技术只能代表某个人生物特征，由于生物特征存在不可更改性与一定的可复制性，一旦用户生物特征信息泄露，则其身份就可能其它人被复制利用，手机锁屏密码也当然能轻易绕过。

　　在此我们给大家的防范建议是：

（1）尽量少在社交平台发自拍照，特别是高清无码的；
（2）最最最重要的：不要轻易将手机借给其它人；
（3）运用传统的(6位数字或更长)PIN码解锁手机最安全；

　　不过大家也不用太担心，以上pojie各种解锁姿势的方式在实际生活场景中都有一定的利用难度，厂商们也早已经认识到了此类风险，不断在推出新的带活体检测的生物识别技术方案，相信日后还有更多姿势等待我们去探索，在此也欢迎大家与我们交流。