一、邁瑞微披露“指紋識別安全漏洞”?
2017年11月,邁瑞微電子舉辦“安全指紋·物聯(lián)生活”技術(shù)發(fā)布會,首次披露存在于智能手機(jī)的指紋識別安全漏洞:在指紋傳感器上貼覆帶有導(dǎo)電涂層的貼膜,不影響已注冊指紋解鎖;但已注冊指紋使用后,未注冊的指紋也能解鎖。2017年12月起,好奇實驗室等為代表的科技媒體對智能手機(jī)指紋識別安全漏洞進(jìn)行了持續(xù)披露。2018年1月起,中央電視臺多個新聞欄目向全國人民滾動報道了智能手機(jī)指紋識別安全漏洞。同期以人民日報、揚(yáng)子晚報為代表的綜合性媒體也對智能手機(jī)指紋識別安全漏洞進(jìn)行了報道。
二、質(zhì)檢總局高度重視限時整改
2017年12月,質(zhì)檢總局委托工業(yè)和信息化部電子第五研究所,對國內(nèi)品牌五款智能手機(jī),同時選擇兩款國外品牌進(jìn)行對比實驗,通過驗證實驗表明報道中情況屬實。2018年1月質(zhì)檢總局召開智能手機(jī)指紋識別信息安全情況分析座談會,五家智能手機(jī)企業(yè)及一家指紋傳感器芯片企業(yè)到場,質(zhì)檢總局領(lǐng)導(dǎo)要求涉事廠商限于2018年5月之前對已上市手機(jī)的指紋鎖機(jī)型推送升級補(bǔ)丁解決安全漏洞,并舉一反三,關(guān)注生物特征識別存在的信息安全問題。
三、安全漏洞升級補(bǔ)丁現(xiàn)狀?
邁瑞微公司在主動監(jiān)控中發(fā)現(xiàn),不少已存在指紋識別安全漏洞的智能手機(jī),雖然經(jīng)過了幾次推送升級,但并沒有解決該安全漏洞,仍然采用類似專利ZL201010131219.7《抵御指紋殘留的指紋識別系統(tǒng)和方法》中的技術(shù)方法,只對不移動的攻擊圖案起到防御效果,但并不能修補(bǔ)安全漏洞抵御貼膜方式的攻擊。(詳情可參照點擊以下鏈接:視頻詳情 )
四、邁瑞微揭示防御原理
指紋識別是為數(shù)不多的由中國人站在技術(shù)頂尖位置的領(lǐng)域,早在2006年,由歐美研究機(jī)構(gòu)主辦的FVC國際指紋識別競賽中,登記國籍為中國的個人和企業(yè)已經(jīng)包攬了有限資源組前4名。貼膜破解安全漏洞的防御方法被中國自主知識產(chǎn)權(quán)指紋識別技術(shù)企業(yè)普遍掌握,已有三家長期從事指紋識別技術(shù)研發(fā)的中國廠商通過了邁瑞微的防貼膜破解原理性論證,分別是蘇州邁瑞微、上海圖正、杭州晟元。
早在2017年11月“安全指紋·物聯(lián)生活”技術(shù)發(fā)布會上,邁瑞微就披露了解決該漏洞的方法:檢測圖像是否為指紋;檢查匹配重疊區(qū)域是否具備一致性,擁有自主知識產(chǎn)權(quán)的中國指紋識別技術(shù)廠商都掌握該技術(shù)方法,但國內(nèi)手機(jī)市場普遍沒有采用安防業(yè)普遍應(yīng)用的先進(jìn)的自主技術(shù)。
五、邁瑞微提供軟件解決方案
邁瑞微電子自即日起到2018年12月,對已上市手機(jī)的指紋鎖機(jī)型提供安全升級補(bǔ)丁的軟件服務(wù),以經(jīng)過對質(zhì)量和知識產(chǎn)權(quán)極端重視的北美市場考驗的先進(jìn)技術(shù)來服務(wù)國內(nèi)手機(jī)市場。在服務(wù)順序和定價上將遵循以下原則:第一、先報名者價低,后報名者價高,因為安全防護(hù)越早成本越低,亡羊補(bǔ)牢成本高;第二,以智能手機(jī)首發(fā)價為基數(shù)按比例定價,因為安全的價值取決于保護(hù)什么。具體實施細(xì)則如下:
(1)與競爭對手的指紋芯片搭配的安全指紋識別軟件并非邁瑞微標(biāo)準(zhǔn)產(chǎn)品,以智能手機(jī)機(jī)型為報名單元,委托方應(yīng)報備智能手機(jī)機(jī)型、電子配置列表、指紋傳感器型號、上市時間、首次公開報價、總銷售量;報名者應(yīng)在15天內(nèi)打預(yù)付款,以郵件送達(dá)日為報名日,超出15天打款以款到日提前15天為報名日;型號的定義以存在影響指紋識別表現(xiàn)的電子配置差異為準(zhǔn),例如使用兩種Memory的“同款手機(jī)”將被認(rèn)為是兩個機(jī)型,以免在兼容性上發(fā)生爭議。
(2)預(yù)付金為每機(jī)型10萬元人民幣,用于TEE環(huán)境下指紋識別TA的開發(fā)費(fèi)用,不對指紋識別軟件運(yùn)行于REE的機(jī)型提供服務(wù);對一個機(jī)型,每款競品指紋傳感器收費(fèi)5萬元人民幣開發(fā)費(fèi);邁瑞微軟件已適配主要國產(chǎn)TEE,如果委托方指定邁瑞微未適配過的TEE,則視開發(fā)困難程度,每機(jī)型額外支付邁瑞微10萬元-20萬元人民幣開發(fā)費(fèi)用并承擔(dān)TEE供應(yīng)商要求的費(fèi)用,并可能被降低優(yōu)先級;不同機(jī)型的報名時間和費(fèi)用獨(dú)立核算,簽訂開發(fā)合同時多退少補(bǔ);因委托方或第三方的原因?qū)е麻_發(fā)成本上升,由委托方承擔(dān)。
(3)每pcs手機(jī)的軟件授權(quán)費(fèi)以手機(jī)指紋鎖機(jī)型首次公開報價為基準(zhǔn),隨時間上升:5月之前報名的,按0.2%收取;6月1日至6月30日報名的,按0.4%收取;7月1日至7月31日報名的,按0.6%收取;8月1日至8月31日報名的,以0.8%收取;9月1日至9月30日報名的,以1.0%收取;10月報名的,以1.2%收取;11月報名的,以1.4%收取;12月報名的,以1.6%收取。在邁瑞微交付安全軟件之前,委托方應(yīng)一次性交清該機(jī)型全部軟件授權(quán)費(fèi)。
為避免競爭對手獲得邁瑞微核心技術(shù):
(1)在邁瑞微辦公住所進(jìn)行開發(fā),邁瑞微編譯打包TA,委托方提供技術(shù)支持;
(2)委托方不得逆向工程,不得在其他機(jī)型使用邁瑞微的軟件,不得向第三方擴(kuò)散邁瑞微提供的任何數(shù)據(jù)和資料;
(3)委托方不得向邁瑞微員工套取信息,不得要求邁瑞微員工與含邁瑞微競爭對手在內(nèi)的第三方直接溝通。
符合如下情形,邁瑞微有權(quán)拒絕和終止軟件開發(fā)服務(wù),不退還已支付的預(yù)付金或開發(fā)費(fèi):
(1)委托方對費(fèi)用存在異議的,或委托方提供虛假報備信息的;
(2)有證據(jù)表明該機(jī)型涉嫌侵犯邁瑞微專利權(quán),且協(xié)商無果的;
(3)因委托方管理或技術(shù)問題導(dǎo)致開發(fā)無法開展或進(jìn)展緩慢的;
(4)因競品指紋傳感器或TEE等相關(guān)第三方原因?qū)е麻_發(fā)無法進(jìn)展的;
(5)委托方試圖只升級部分競品指紋傳感器,且不能證明其余競品指紋傳感器已解決安全漏洞的;
(6)委托方曾使用非市場手段獲取邁瑞微技術(shù)秘密行為在先,雙方尚未和解的;
(7)委托方或相關(guān)第三方在開發(fā)過程中有其他損害邁瑞微合法利益的行為的。
六、中國芯在部分領(lǐng)域已世界領(lǐng)先
目前在指紋芯片領(lǐng)域,中國公司自思想理論層面開始便全盤原創(chuàng),在智能門鎖為代表的安防市場,邁瑞微為代表的自主領(lǐng)先技術(shù)也成為主流產(chǎn)品。希望作為市場主體的企業(yè)普遍重視質(zhì)量、普遍尊重事實,發(fā)揮市場的有效調(diào)節(jié)機(jī)制才會發(fā)生作用。邁瑞微公司全體成員向中國安防業(yè)優(yōu)秀的企業(yè)家們、積極有為的主管部門和深耕世界市場的著名品牌們致敬。
-
智能手機(jī)
+關(guān)注
關(guān)注
66文章
18477瀏覽量
180114 -
指紋識別
+關(guān)注
關(guān)注
43文章
1742瀏覽量
102232 -
邁瑞微
+關(guān)注
關(guān)注
1文章
4瀏覽量
8932
原文標(biāo)題:邁瑞微為智能手機(jī)提供指紋識別安全漏洞軟件解決方案的聲明
文章出處:【微信號:MEMSensor,微信公眾號:MEMS】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論