指紋辨識安全性？ - 行動支付

※ 引述《NHC (親親小狗snoopy)》之銘言：
: 文章出處
: 文章代碼(AID): #1RN6uJQo (MobileComm) [ptt.cc] Re: [閒聊] 手機支付好像冷 │
: │ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1532784147.A.6B2.html
: 謝謝大家的解說，看完文章後，一時被嚇到，
: 這樣安心了。
: 大家看到標題請不要馬上生氣，只是不知怎麼傳達我的困惑。
: 之前在某版看到有關行動支付的討論（此話題已被該版停止），

此篇也被標記結案，小弟也不知道能不能回覆，如果違反版規請板主刪掉吧

: 記得有位網友說：指紋是生物特徵，連大法官都說強行人民按指紋是違憲，

之前新式身分證出來，要強迫讓每個人換發時同時紀錄指紋當然違憲
這部分是國家強迫每個人，但今天指紋支付是你同意的，你可以選擇不要，你有選擇權

: 而在每次我們授權支付時，同時也將我們的指紋傳給商家，
: 不肖業者就可以利用這些指紋做不法的事
: 我對於那位網友的說法很困惑，
: 也在網路上有找手機、支付、指紋等關鍵字，
: 似乎沒相關討論文章 ，只有說對岸曾有人用橘子皮，就解開手機
: 不知那位網友說的正確性有多高？
: 指紋真的會利用行動支付的方式這麼容易就傳給商家？
: 如果如網友所言，那為什麼沒有見政府或3C達人等出來指出這可怕的地方。
: 個人是對網友的說法保持懷疑，
: 但網路上沒有查到相關資訊，
: 所以想在支付版請教，這說法的可靠性
: 支付專版專業人士應該較多，再請大家解惑了，謝謝。

指紋辨識一般都是擷取特徵的，講特徵太攏統的話，大概就是你指紋哪幾個地方突出來之類的。
然後拿這些特徵跟你之前紀錄在手機的特徵去做比對。

現行手機開發，基本上都是透過蘋果或安卓提供給開發者的工具去辨識

因為

1. 你紀錄指紋的地方是 ios 的系統或是 Android 而非各 app
2. 指紋辨識的硬體是手機廠商提供的
3. app 開發者不會想花時間再重新做已有的工具去辨識
(麻煩程度大到要求使用者越獄或是 root 之類)

接著系統只需要告訴 app 說辨識成功或失敗即可，因此 app 不會拿到你的指紋
對於 app 來說他也只需要知道是否成功辨識


所以問題就落在蘋果跟 Google 身上了。
基本上他們說指紋特徵（非完整指紋）只會紀錄在手機本身，那自然就會有各大資訊安全人士去檢測。
如果檢測到有偷傳回去，哇 那這個人就能到處發表讓蘋果跟 Google 股價暴跌

當然原 PO 的擔憂相信也不是不無道理，畢竟這是靠廠商的良心

如果是那種來路不明的廠商，不明的系統，還在同意書上讓你同意回傳給他們的伺服器
也不是沒那個可能。而且對資訊安全界來說，檢測小眾系統沒有太高的價值。

最後補￁罹戛a的部分，這部分跟 app 也是類似。
信用卡機是只要知道信用卡號即可，因此像是 apple pay 這類的支付
他們在設計流程的時候，只會告知卡號。
只是告知前先透過原本的指紋辨識來確認是不是能夠告知讀卡機信用卡號。


--