小米没能支持支付宝指纹识别,是支付宝安全原因还是因为要推广?

2016-04-25 17:27:42 +08:00
 loading
几天前这里就有出现过微信认为谷歌的指纹识别不安全的问题,然后我看了一下魅族手机关于指纹识别部分,里面提到有 TrusTonic 。( mx5 介绍里面),小米 4s 里面也提到有 ARM TrustZone 。
3675 次点击
所在节点    问与答
10 条回复
learnshare
2016-04-25 17:36:15 +08:00
每家实现方式都不一样,都支持也不容易吧
honeycomb
2016-04-25 17:47:55 +08:00
最通用的手段是 Android 6.0 的原生指纹 API
但是:

国产的很多手机没有升级到 Android 6.0
支付宝很可能压根就没有支持 Android 的原生指纹 API ,微信类似

AOSP 文档里有关于指纹部分的过程,安全要求,看上去是安全的(即不储存指纹自身,而是储存它的摘要到 TEE ,即只有运行于 TrustZone 的程序才可访问的储存区域,其它的手机指纹验证应该都使用类似的方案)

https://source.android.com/security/authentication/fingerprint-hal.html

相比之下其它的指纹方案的过程并不公开,相对来说不值得信任一些
loading
2016-04-25 18:25:26 +08:00
@honeycomb 我在知乎也找到相关讨论了。里面提到了小米的 tee 芯片是让第三方随便写(?),也就是小米不想承担安全方面的风险。

目前似乎就小米没支持支付宝了?
honeycomb
2016-04-25 19:02:10 +08:00
@loading 求链接,因为把 tee 开放给第三方看上去非常不可思议,比如三星检测到 ROM 出现篡改后会直接永久禁用需要 tee/trustzone 的一些特性( knox , samsung pay )
loading
2016-04-25 19:43:55 +08:00
引用:

小米的方案,不是固定私钥。依他们内部人员的博客看,似乎是允许经过签名的 app 往 TEE 内写入自己的私钥。看似不错,但细细想一下,这样一来就变成了“谁都管谁又都不管”的状态。对小米来说,责任由维护交易关键私钥变成了仅仅为交易关键私钥加密(签名),以便能写入 TEE 。也就是说,小米只打算做平台建设者而回避直接参与交易流程。
对于支付宝来说,不单要承担起维护私钥的责任,而且环节多了,发生问题时的责任判定模糊了(因为小米掌握的密钥同样可以解开支付宝对私钥的加密)。支付宝倾向于手机厂商为交易流程提供更简单、直接的保证。

作者:腹黑小太阳
链接: http://www.zhihu.com/question/37834903/answer/95724613
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
honeycomb
2016-04-25 20:34:38 +08:00
@loading
谢谢
BROWNURSIDAE
2016-04-25 21:10:18 +08:00
说真的,说原生指纹不安全的,美国银行都已经用了。。。微信。。
TimLang
2016-04-25 21:48:16 +08:00
不是吧,一直在用一加 2 的支付宝指纹识别,很方便哎。这个有安全隐患吗
Lonely
2016-04-26 00:07:17 +08:00
不信任小米
joey0904
2016-04-27 03:37:05 +08:00
@BROWNURSIDAE 美国银行还不设密码呢。

我以前觉得 Google 安全问题应该还行吧,如果不 root 的话,一直到最近我发现 trusted voice 就是骗人的东西。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/274307

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX