指纹识别对于安卓手机来说是个灾难

安卓手机为了争夺市场是不停的在参数配置上拼个你死我活，处理器、内存、存储、屏幕、指纹，甚至新出的3D Touch，凡是能装上去的，一股脑全都塞进去，以此彰显自己的手机是多么的有竞争力。

如今安卓手机已经基本普及指纹识别功能，连一些千元机都标配了指纹识别模块，比如刚出的魅蓝metal，以及价格屠夫乐视1s。但是指纹识别不像其他硬件仅是作为手机中的一个部件，而是存储了使用者的重要隐私：指纹。不知道你们在使用这项便捷的功能时是否考虑过它的安全性？

指纹和密码的区别

• 密码是可以改的，指纹可改不了。
  假如你的密码忘了，或是被别人盗了，过期了，都没有关系，大不了换一个新的。可是你的指纹呢？指纹是属于个人的特征码，它一旦被盗，很有可能被不法分子加以利用，而且你很难脱身，比如指纹在刑侦里也是一种重要的证据。
• 另外一点，指纹它具有的便利性其他验证方式难以比拟。
  虹膜识别、人脸识别都是依靠摄像头，试想，你的手机放在桌上，想看一下微信消息解锁手机，你用指纹识别连手机都不要拿起来（当然我说的是正面式解锁，这也是背面式解锁手机的一个缺陷）。但是即便人脸识别的解锁速度也和指纹一样快，那也要把手机拿起来搞的和自拍一样，显然没有指纹识别来的方便。

所以，指纹识别必将成为未来支付场景、验证身份场景的重要组成部分。

安卓手机之痛

智能手机界，安卓手机的安全性一直令人诟病。随意Root、刷机，App质量参差不齐，各种提升权限读取用户数据......开源、定制化成就了安卓系统，可是这些同样也让安卓系统变得很不可控。谷歌也是心有余而力不足，至今安卓系统的碎片化问题难以解决。
举个栗子，安卓4.0有一个严重的系统漏洞会导致系统被黑客攻击泄漏重要隐私比如：指纹。但是改修复这个漏洞的代价很大，因为要让各个基于4.0定制的手机厂商都升级到5.0，并且要让用户更新他们的系统。然后各个手机厂商的不同价位的手机使用的硬件都不相同，有的硬件做的不好不兼容5.0，那这些手机的漏洞就无法修复。而且你知道的，国内用户都是不怎么升级系统的，那即便这个底层漏洞可以修复，厂商花费了一定的时间修复，用户也不会买账。

安卓的指纹识别

有人指出，现在的指纹模块已经相当安全了，硬件上参考TrustZone方案，软件上再对指纹数据进行加密，理论上没问题。是的，理论上是这样没错。但是这仅是这个模块相对安全罢了，那么建立在在上述漏洞很多的安卓系统上的这个模块还是否能保持原本的安全性呢？答案是：不能。

拉斯维加斯黑帽2015大会上，FireEye安全公司的Yulong Zhang、Tao Wei展示了如何攻击安卓设备并从中窃取用户指纹的新方法，而且几乎适合任意安卓设备，无论是三星、HTC、华为都无法逃脱。
他们一共发现了四种攻击方式，其中的“指纹传感器暴露攻击”最为危险，甚至可以大规模发动远程攻击。在演示中，Galaxy S5、HTC One Max都轻松沦陷，指纹被攻击者拿到并且可以为所欲为。

指纹传感器暴露攻击

这种攻击的漏洞需要升级系统才能修复。

另外几种方式分别在应用层、存储层进行攻击。存储上的问题现在基本已经解决了，这样至少不会导致指纹信息直接被黑客拿到。应用层虽然不会泄漏指纹信息，但是需要Apple Store/Google Play这样的严格审核机制才能防范。说起国内应用商店的混乱，想必各位看官心知肚明。同时也需要Google提供统一的指纹识别API来确保安全性，这样又回到了一开始说的版本碎片化问题。（Google真的要哭了）

由此可见，指纹识别确实与系统安全性、应用安全性所挂钩。这一点上，与其说是厂商不作为，不如说是整个安卓生态圈的共同问题。

结论

如果不能按如下几点来使用安卓手机，还是尽量不要使用指纹识别功能：

• 不Root系统
• 保持系统最新（谷歌的Android版本）
• 只从Google Play商店下载App