指纹支付真的识别了指纹吗？

如果你的手机忘了锁屏，放桌上被人拿走了，钱会被偷走吗？你可能会想：“应该没法转走钱吧，毕竟支付的时候还需要再验证一次。更何况我设置了指纹验证，比支付密码更安全。”大多数时候确实如此，但是如果这里有漏洞，那就不是这样了。...

如果你的手机忘了锁屏，放桌上被人拿走了，钱会被偷走吗？你可能会想：“应该没法转走钱吧，毕竟支付的时候还需要再验证一次。更何况我设置了指纹验证，比支付密码更安全。”

大多数时候确实如此，但是如果这里有漏洞，那就不是这样了。在这个案例展示了攻击者拿到一台已经解锁屏幕的手机，绕过指纹验证进行支付的场景，受害者当然是手机被拿走的那个人。在分析原因前，我们先看一下攻击流程。正常的指纹支付流程，如上图左侧所示，这里以用户Alice一次正常的支付流程进行说明：

1、Alice在使用APP进行支付时，APP收到支付请求后会要求验证，让指纹驱动提供Alice账户的身份认证信息。

2、扫描Alice本人的指纹信息后，指纹驱动控制硬件读取Alice的指纹，并且跟之前登记的指纹进行特征比对。

3、信息匹配成功，那么指纹驱动就会将Alice的身份信息以及认证结果提供给APP，APP就可以继续支付流程。

然而，在某些指纹识别的手机型号当中，指纹驱动存在漏洞，它允许普通用户开启它的调试模式。而在打开调试模式的情况下，它不会再进行第二步的校验指纹环节，不论刷什么人的指纹，它都会直接跳转到第三步向APP提供手机中登记的身份认证信息。利用这个漏洞，无论谁只要能进入到你的手机，连接USB开启调试模式，即使不需要你的指纹，也能完成支付流程。

因此，为了大家的支付安全，信息安全中心提醒大家，手机要随身携带，一定要为手机设置较为复杂的解锁密码，并且不要轻易将密码告诉别人，以免让有心人有机可乘！

    关注 北纬活动快讯