V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
loading
V2EX  ›  问与答

小米没能支持支付宝指纹识别,是支付宝安全原因还是因为要推广?

  •  
  •   loading · 2016-04-25 17:27:42 +08:00 · 3683 次点击
    这是一个创建于 3130 天前的主题,其中的信息可能已经有所发展或是发生改变。
    几天前这里就有出现过微信认为谷歌的指纹识别不安全的问题,然后我看了一下魅族手机关于指纹识别部分,里面提到有 TrusTonic 。( mx5 介绍里面),小米 4s 里面也提到有 ARM TrustZone 。
    第 1 条附言  ·  2016-04-25 20:16:04 +08:00
    小米的 MIUI 8 似乎会支持了。 5 月 2 日。
    10 条回复    2016-04-27 03:37:05 +08:00
    learnshare
        1
    learnshare  
       2016-04-25 17:36:15 +08:00   ❤️ 1
    每家实现方式都不一样,都支持也不容易吧
    honeycomb
        2
    honeycomb  
       2016-04-25 17:47:55 +08:00   ❤️ 1
    最通用的手段是 Android 6.0 的原生指纹 API
    但是:

    国产的很多手机没有升级到 Android 6.0
    支付宝很可能压根就没有支持 Android 的原生指纹 API ,微信类似

    AOSP 文档里有关于指纹部分的过程,安全要求,看上去是安全的(即不储存指纹自身,而是储存它的摘要到 TEE ,即只有运行于 TrustZone 的程序才可访问的储存区域,其它的手机指纹验证应该都使用类似的方案)

    https://source.android.com/security/authentication/fingerprint-hal.html

    相比之下其它的指纹方案的过程并不公开,相对来说不值得信任一些
    loading
        3
    loading  
    OP
       2016-04-25 18:25:26 +08:00
    @honeycomb 我在知乎也找到相关讨论了。里面提到了小米的 tee 芯片是让第三方随便写(?),也就是小米不想承担安全方面的风险。

    目前似乎就小米没支持支付宝了?
    honeycomb
        4
    honeycomb  
       2016-04-25 19:02:10 +08:00 via Android
    @loading 求链接,因为把 tee 开放给第三方看上去非常不可思议,比如三星检测到 ROM 出现篡改后会直接永久禁用需要 tee/trustzone 的一些特性( knox , samsung pay )
    loading
        5
    loading  
    OP
       2016-04-25 19:43:55 +08:00 via Android   ❤️ 1
    引用:

    小米的方案,不是固定私钥。依他们内部人员的博客看,似乎是允许经过签名的 app 往 TEE 内写入自己的私钥。看似不错,但细细想一下,这样一来就变成了“谁都管谁又都不管”的状态。对小米来说,责任由维护交易关键私钥变成了仅仅为交易关键私钥加密(签名),以便能写入 TEE 。也就是说,小米只打算做平台建设者而回避直接参与交易流程。
    对于支付宝来说,不单要承担起维护私钥的责任,而且环节多了,发生问题时的责任判定模糊了(因为小米掌握的密钥同样可以解开支付宝对私钥的加密)。支付宝倾向于手机厂商为交易流程提供更简单、直接的保证。

    作者:腹黑小太阳
    链接: http://www.zhihu.com/question/37834903/answer/95724613
    来源:知乎
    著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
    honeycomb
        6
    honeycomb  
       2016-04-25 20:34:38 +08:00
    @loading
    谢谢
    BROWNURSIDAE
        7
    BROWNURSIDAE  
       2016-04-25 21:10:18 +08:00 via Android
    说真的,说原生指纹不安全的,美国银行都已经用了。。。微信。。
    TimLang
        8
    TimLang  
       2016-04-25 21:48:16 +08:00 via Android
    不是吧,一直在用一加 2 的支付宝指纹识别,很方便哎。这个有安全隐患吗
    Lonely
        9
    Lonely  
       2016-04-26 00:07:17 +08:00 via iPhone
    不信任小米
    joey0904
        10
    joey0904  
       2016-04-27 03:37:05 +08:00
    @BROWNURSIDAE 美国银行还不设密码呢。

    我以前觉得 Google 安全问题应该还行吧,如果不 root 的话,一直到最近我发现 trusted voice 就是骗人的东西。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5842 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 06:19 · PVG 14:19 · LAX 22:19 · JFK 01:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.