华为Mate10第一硬伤:无法使用微信指纹支付

Sockets 2017-10-18 12:17 阅读:2.0万
摘要:日前,华为Mate10系列手机面向全球发布。据称,Mate10搭载内置安全模块的华为自产CPU“麒麟970”,可达到“金融级别安全”。它真的安全吗?至少,腾讯微信安全团队恐怕并不认可。据该团队官方微信

日前,华为Mate 10系列手机面向全球发布。据称,Mate 10搭载内置安全模块的华为自产CPU“麒麟970”,可达到“金融级别安全”。

它真的安全吗?至少,腾讯微信安全团队恐怕并不认可。据该团队官方微信公众号近期公告,截至目前,其增强的指纹认证标准“SOTER”设备支持列表尚无华为任何机型的身影。这就意味着,除了早期的三款手机(Mate 7、Mate S和荣耀7,基于华为自定标准),包括Mate 10在内的华为手机用户全部无法体验微信指纹支付的便捷性与增强的安全性。在指纹支付日渐成为移动支付应用标配的今天,这个责任可不小。

前述公告显示,SOTER标准已经获得小米、三星等国内外26个主流安卓手机厂商、100多款机型的支持,独缺华为。另据《中国移动互联网发展状况及其安全报告(2017)》披露,微信活跃用户量已破10亿,其中约13%使用华为手机,近千万人受到影响,无法使用指纹支付。自2015年11月华为Mate 8发布以来,他们苦等微信指纹支付功能整整两年,在华为手机官方论坛、官方微博和百度贴吧等互动平台上接踵抱怨,成为一道风景。期间,具有全球影响力的GeekPwn 2016信息安全赛事参赛者发现并利用华为P系列手机的多个重大安全漏洞,瞬间绕过指纹识别模块,直接解锁手机,引发一阵恐慌。

面对广大用户要求支持微信指纹支付功能的强烈呼声,华为官方答复千篇一律:“正与腾讯商量,大家等着”。这一“商量”,便是两年,残酷考验着用户耐心。

华为的动作,远不止于此。

2016年11月,华为发布Mate 9,用户仍然无法使用微信指纹支付。1个月后,华为顶不住用户压力,准备“甩锅”。华为首先在微博大V、某高校通信专业教师“奥卡姆剃刀”所发表的Mate 9广告软文中放出风声(大意):“某互联网厂商要求手机厂商提供用户指纹到服务器做匹配,没节操的手机厂商都答应了,有节操的手机厂商拒绝了”,华为Mate手机产品线负责人李小龙随即附和:“确有厂商提出这个非分要求,被我严词拒绝”。

虽未点名,言之凿凿,华为用户“恍然大悟”:“指纹是不可变信息,万一服务器数据泄漏,后果不堪设想,腾讯太不负责任了。支持华为,我们不要微信指纹支付了。谢谢啊!~~~”

对于充斥于华为手机官方论坛、官方微博和百度贴吧的上述论调,华为上下始终坚持“三不原则”:不确认,不否认,不负责。

9月,华为人工智能手机Magic深陷“入侵微信”事件,难以脱身之际,“奥卡姆剃刀”故作惊诧状,再次搬出上述论调,引导大量华为用户和高度疑似“水军”攻击腾讯及其微信安全团队。

然而,“某互联网厂商要求手机厂商提供用户指纹到服务器做匹配”或 “腾讯要求华为提供用户指纹到服务器做匹配”,均属谎言,彻头彻尾的谎言。这个谎言不仅愚弄了华为手机用户,还恐吓了其它品牌安卓手机用户,颠覆了腾讯及其合作厂商的专业性和责任心,直接影响数亿中国人。

它也验证了所谓戈培尔效应:谎言重复一千次,就会成为“真理”。

认定其为谎言的理由充分,包括但不限于:

1、 众所周知,手机指纹识别模块具有指纹采集能力,同时还有准确快速的指纹匹配能力,无需外部任何“协助”;

2、 指纹匹配不是简单的等式判断,而是复杂的运算过程,如果由服务器集中匹配,开销大,成本高,性能低,匹配失败重试过程还需重复远程交互过程,严重影响可用性和使用体验;

3、 手机操作系统增加获取指纹的编程接口,该接口势必成为整个安全架构最为脆弱的安全风险点;

4、 服务器集中存储和匹配指纹具有理论上的技术价值(例如跨设备指纹识别),但没有技术必要性和实用价值,反而徒增巨大风险,一旦数据库被黑客拖走,就是特别重大安全事故和政治事件,任何互联网厂商都无法承担。

对于信息安全专业人士,以上皆为基础性常识,不存在任何分歧或争议。综上所述,所谓“某互联网厂商要求手机厂商提供用户指纹到服务器做匹配”根本就是一个伪命题,愚弄公众,荒谬至极,以腾讯微信安全团队的专业性及其所承担的重大社会责任,不可能那么做,也无法实现(任何手机厂商都不会提供技术支持)。炮制这一谬论的始作俑者,如果不是利令智昏,作何解释?

事实上,腾讯指纹认证标准SOTER与手机指纹识别模块的唯一交集是SOTER认证体系顶级密钥受指纹锁保护,相关原理、方法与流程公开透明(欲知详情,明天分解),开放基因与生俱来:

2015年10月,腾讯公开发布指纹认证标准SOTER;

2016年12月,腾讯免费开放SOTER指纹认证使用许可;

2017年8月,腾讯开放SOTER指纹认证源代码( 详见 http://github.com/tencent/soter )。

公开认证标准、输出认证能力、开放认证源代码,是腾讯指纹认证标准没有上传和收集用户指纹的确凿证据,更是SOTER安全性的信心保证。

格局决定结局,态度决定高度。不能忘本,不要跌份。华为是全球领先的通信设备制造商,为运营商客户、企业客户和消费者提供有竞争力的产品和服务,强调以用户为中心,倡导开放合作共赢。秉承这份精神,守护这份初心,是华为消费者产品线的重大课题。


版权声明
本文仅代表作者观点,不代表百度立场。
本文系作者授权百度百家发表,未经许可,不得转载。
阅读量: 2.0万
0