一、邁瑞微披露“指紋識別安全漏洞”?

2017年11月，邁瑞微電子舉辦“安全指紋·物聯(lián)生活”技術(shù)發(fā)布會，首次披露存在于智能手機的指紋識別安全漏洞：在指紋傳感器上貼覆帶有導(dǎo)電涂層的貼膜，不影響已注冊指紋解鎖；但已注冊指紋使用后，未注冊的指紋也能解鎖。2017年12月起，好奇實驗室等為代表的科技媒體對智能手機指紋識別安全漏洞進行了持續(xù)披露。2018年1月起，中央電視臺多個新聞欄目向全國人民滾動報道了智能手機指紋識別安全漏洞。同期以人民日報、揚子晚報為代表的綜合性媒體也對智能手機指紋識別安全漏洞進行了報道。

二、質(zhì)檢總局高度重視限時整改

2017年12月，質(zhì)檢總局委托工業(yè)和信息化部電子第五研究所，對國內(nèi)品牌五款智能手機，同時選擇兩款國外品牌進行對比實驗，通過驗證實驗表明報道中情況屬實。2018年1月質(zhì)檢總局召開智能手機指紋識別信息安全情況分析座談會，五家智能手機企業(yè)及一家指紋傳感器芯片企業(yè)到場，質(zhì)檢總局領(lǐng)導(dǎo)要求涉事廠商限于2018年5月之前對已上市手機的指紋鎖機型推送升級補丁解決安全漏洞，并舉一反三，關(guān)注生物特征識別存在的信息安全問題。

三、安全漏洞升級補丁現(xiàn)狀?

邁瑞微公司在主動監(jiān)控中發(fā)現(xiàn)，不少已存在指紋識別安全漏洞的智能手機，雖然經(jīng)過了幾次推送升級，但并沒有解決該安全漏洞，仍然采用類似專利ZL201010131219.7《抵御指紋殘留的指紋識別系統(tǒng)和方法》中的技術(shù)方法，只對不移動的攻擊圖案起到防御效果，但并不能修補安全漏洞抵御貼膜方式的攻擊。（詳情可參照點擊以下鏈接：視頻詳情 ）

四、邁瑞微揭示防御原理

指紋識別是為數(shù)不多的由中國人站在技術(shù)頂尖位置的領(lǐng)域，早在2006年，由歐美研究機構(gòu)主辦的FVC國際指紋識別競賽中，登記國籍為中國的個人和企業(yè)已經(jīng)包攬了有限資源組前4名。貼膜破解安全漏洞的防御方法被中國自主知識產(chǎn)權(quán)指紋識別技術(shù)企業(yè)普遍掌握，已有三家長期從事指紋識別技術(shù)研發(fā)的中國廠商通過了邁瑞微的防貼膜破解原理性論證，分別是蘇州邁瑞微、上海圖正、杭州晟元。

早在2017年11月“安全指紋·物聯(lián)生活”技術(shù)發(fā)布會上，邁瑞微就披露了解決該漏洞的方法：檢測圖像是否為指紋；檢查匹配重疊區(qū)域是否具備一致性，擁有自主知識產(chǎn)權(quán)的中國指紋識別技術(shù)廠商都掌握該技術(shù)方法，但國內(nèi)手機市場普遍沒有采用安防業(yè)普遍應(yīng)用的先進的自主技術(shù)。

五、邁瑞微提供軟件解決方案

邁瑞微電子自即日起到2018年12月，對已上市手機的指紋鎖機型提供安全升級補丁的軟件服務(wù)，以經(jīng)過對質(zhì)量和知識產(chǎn)權(quán)極端重視的北美市場考驗的先進技術(shù)來服務(wù)國內(nèi)手機市場。在服務(wù)順序和定價上將遵循以下原則：第一、先報名者價低，后報名者價高，因為安全防護越早成本越低，亡羊補牢成本高；第二，以智能手機首發(fā)價為基數(shù)按比例定價，因為安全的價值取決于保護什么。具體實施細則如下：

（1）與競爭對手的指紋芯片搭配的安全指紋識別軟件并非邁瑞微標準產(chǎn)品，以智能手機機型為報名單元，委托方應(yīng)報備智能手機機型、電子配置列表、指紋傳感器型號、上市時間、首次公開報價、總銷售量；報名者應(yīng)在15天內(nèi)打預(yù)付款，以郵件送達日為報名日，超出15天打款以款到日提前15天為報名日；型號的定義以存在影響指紋識別表現(xiàn)的電子配置差異為準，例如使用兩種Memory的“同款手機”將被認為是兩個機型，以免在兼容性上發(fā)生爭議。

（2）預(yù)付金為每機型10萬元人民幣，用于TEE環(huán)境下指紋識別TA的開發(fā)費用，不對指紋識別軟件運行于REE的機型提供服務(wù)；對一個機型，每款競品指紋傳感器收費5萬元人民幣開發(fā)費；邁瑞微軟件已適配主要國產(chǎn)TEE，如果委托方指定邁瑞微未適配過的TEE，則視開發(fā)困難程度，每機型額外支付邁瑞微10萬元-20萬元人民幣開發(fā)費用并承擔(dān)TEE供應(yīng)商要求的費用，并可能被降低優(yōu)先級；不同機型的報名時間和費用獨立核算，簽訂開發(fā)合同時多退少補；因委托方或第三方的原因?qū)е麻_發(fā)成本上升，由委托方承擔(dān)。

（3）每pcs手機的軟件授權(quán)費以手機指紋鎖機型首次公開報價為基準，隨時間上升：5月之前報名的，按0.2%收取；6月1日至6月30日報名的，按0.4%收取；7月1日至7月31日報名的，按0.6%收取；8月1日至8月31日報名的，以0.8%收取；9月1日至9月30日報名的，以1.0%收取；10月報名的，以1.2%收取；11月報名的，以1.4%收取；12月報名的，以1.6%收取。在邁瑞微交付安全軟件之前，委托方應(yīng)一次性交清該機型全部軟件授權(quán)費。

為避免競爭對手獲得邁瑞微核心技術(shù)：

（1）在邁瑞微辦公住所進行開發(fā)，邁瑞微編譯打包TA，委托方提供技術(shù)支持；

（2）委托方不得逆向工程，不得在其他機型使用邁瑞微的軟件，不得向第三方擴散邁瑞微提供的任何數(shù)據(jù)和資料；

（3）委托方不得向邁瑞微員工套取信息，不得要求邁瑞微員工與含邁瑞微競爭對手在內(nèi)的第三方直接溝通。

符合如下情形，邁瑞微有權(quán)拒絕和終止軟件開發(fā)服務(wù)，不退還已支付的預(yù)付金或開發(fā)費：

（1）委托方對費用存在異議的，或委托方提供虛假報備信息的；

（2）有證據(jù)表明該機型涉嫌侵犯邁瑞微專利權(quán)，且協(xié)商無果的；

（3）因委托方管理或技術(shù)問題導(dǎo)致開發(fā)無法開展或進展緩慢的；

（4）因競品指紋傳感器或TEE等相關(guān)第三方原因?qū)е麻_發(fā)無法進展的；

（5）委托方試圖只升級部分競品指紋傳感器，且不能證明其余競品指紋傳感器已解決安全漏洞的；

（6）委托方曾使用非市場手段獲取邁瑞微技術(shù)秘密行為在先，雙方尚未和解的；

（7）委托方或相關(guān)第三方在開發(fā)過程中有其他損害邁瑞微合法利益的行為的。

六、中國芯在部分領(lǐng)域已世界領(lǐng)先

目前在指紋芯片領(lǐng)域，中國公司自思想理論層面開始便全盤原創(chuàng)，在智能門鎖為代表的安防市場，邁瑞微為代表的自主領(lǐng)先技術(shù)也成為主流產(chǎn)品。希望作為市場主體的企業(yè)普遍重視質(zhì)量、普遍尊重事實，發(fā)揮市場的有效調(diào)節(jié)機制才會發(fā)生作用。邁瑞微公司全體成員向中國安防業(yè)優(yōu)秀的企業(yè)家們、積極有為的主管部門和深耕世界市場的著名品牌們致敬。