这是一个创建于 3116 天前的主题,其中的信息可能已经有所发展或是发生改变。
几天前这里就有出现过微信认为谷歌的指纹识别不安全的问题,然后我看了一下魅族手机关于指纹识别部分,里面提到有 TrusTonic 。( mx5 介绍里面),小米 4s 里面也提到有 ARM TrustZone 。
第 1 条附言 · 2016-04-25 20:16:04 +08:00
小米的 MIUI 8 似乎会支持了。 5 月 2 日。
 |
1
learnshare 2016-04-25 17:36:15 +08:00  1
每家实现方式都不一样,都支持也不容易吧
|
 |
2
honeycomb 2016-04-25 17:47:55 +08:00 1
最通用的手段是 Android 6.0 的原生指纹 API
但是: 国产的很多手机没有升级到 Android 6.0 支付宝很可能压根就没有支持 Android 的原生指纹 API ,微信类似 AOSP 文档里有关于指纹部分的过程,安全要求,看上去是安全的(即不储存指纹自身,而是储存它的摘要到 TEE ,即只有运行于 TrustZone 的程序才可访问的储存区域,其它的手机指纹验证应该都使用类似的方案) https://source.android.com/security/authentication/fingerprint-hal.html 相比之下其它的指纹方案的过程并不公开,相对来说不值得信任一些 |
 |
3
loading OP |
|
4
honeycomb 2016-04-25 19:02:10 +08:00 via Android
@loading 求链接,因为把 tee 开放给第三方看上去非常不可思议,比如三星检测到 ROM 出现篡改后会直接永久禁用需要 tee/trustzone 的一些特性( knox , samsung pay )
|
|
5
loading OP 1
引用:
小米的方案,不是固定私钥。依他们内部人员的博客看,似乎是允许经过签名的 app 往 TEE 内写入自己的私钥。看似不错,但细细想一下,这样一来就变成了“谁都管谁又都不管”的状态。对小米来说,责任由维护交易关键私钥变成了仅仅为交易关键私钥加密(签名),以便能写入 TEE 。也就是说,小米只打算做平台建设者而回避直接参与交易流程。 对于支付宝来说,不单要承担起维护私钥的责任,而且环节多了,发生问题时的责任判定模糊了(因为小米掌握的密钥同样可以解开支付宝对私钥的加密)。支付宝倾向于手机厂商为交易流程提供更简单、直接的保证。 作者:腹黑小太阳 链接: http://www.zhihu.com/question/37834903/answer/95724613 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 |
 |
7
BROWNURSIDAE 2016-04-25 21:10:18 +08:00 via Android
说真的,说原生指纹不安全的,美国银行都已经用了。。。微信。。
|
 |
8
TimLang 2016-04-25 21:48:16 +08:00 via Android
不是吧,一直在用一加 2 的支付宝指纹识别,很方便哎。这个有安全隐患吗
|
 |
9
Lonely 2016-04-26 00:07:17 +08:00 via iPhone
不信任小米
|
 |
10
joey0904 2016-04-27 03:37:05 +08:00
|
Select Language