近來(lái)HTC并不太平，繼手機(jī)爆出巨大指紋信息安全漏洞之后，公司又因糟糕的二季度財(cái)報(bào)和三季度預(yù)測(cè)，表示將全球裁員15%。這個(gè)結(jié)果其實(shí)很能說(shuō)明一個(gè)問(wèn)題，就是手機(jī)隱私的安全重要性已經(jīng)不再只是宣傳噱頭，它已經(jīng)上升到可以很大程度上影響品牌的信賴(lài)度。

　　過(guò)去這些年，蘋(píng)果和其它大量的安卓手機(jī)廠(chǎng)商都在致力于指紋識(shí)別的技術(shù)進(jìn)步。這種技術(shù)毫無(wú)疑問(wèn)是比傳統(tǒng)的密碼保護(hù)方式要進(jìn)步許多，不過(guò)看完一個(gè)來(lái)自FireEye的研究機(jī)構(gòu)報(bào)告結(jié)果之后，卻著實(shí)讓人大跌眼鏡。據(jù)報(bào)告所說(shuō)，很多安卓系統(tǒng)的手機(jī)安全性堪憂(yōu)，很多情況下，只需將手機(jī)和電腦相連，就可以找到相關(guān)的文件夾把指紋信息輕松讀取出來(lái)。

　　這可是個(gè)很?chē)?yán)重的問(wèn)題，因?yàn)楹芏鄷r(shí)候指紋識(shí)別是在支付過(guò)程中使用的。這個(gè)報(bào)告不僅發(fā)現(xiàn)了這個(gè)問(wèn)題，還著重表達(dá)了對(duì)手機(jī)OEM廠(chǎng)商對(duì)指紋識(shí)別的安全性如此輕視的遺憾。因?yàn)樵诶碚撋蟻?lái)說(shuō)，指紋信息應(yīng)該與系統(tǒng)核心的安全級(jí)別至少是等同的。ARM的TrustZone技術(shù)是提供了額外的一層隔離保護(hù)，可問(wèn)題就是有些OEM根本沒(méi)把這當(dāng)回事。

　　報(bào)告中舉的例子很讓人震驚：

　　HTC，這個(gè)大家熟知的知名手機(jī)品牌，竟然將用戶(hù)指紋信息儲(chǔ)存在了/data/dbgraw.bmp文件中，且任何一個(gè)普通權(quán)限的程序都可以直接打開(kāi)并瀏覽其內(nèi)容。雖然其它的廠(chǎng)商會(huì)把指紋存儲(chǔ)在TrustZone之中，但仍舊有黑客可以輕松獲取其中的信息。HTC的漏洞造成的后果更糟糕，因?yàn)樗窃诿恳淮沃讣y識(shí)別成功后自動(dòng)更新指紋信息到對(duì)應(yīng)文件夾，所以其實(shí)相當(dāng)于是黑客正坐在那里接受每一次最新的客戶(hù)指紋信息。

　　雖然只是HTC徹底輕視了指紋信息安全，并導(dǎo)致幾乎所有人都可以進(jìn)行信息竊取，但其實(shí)事情并不是到此結(jié)束。發(fā)生在所有安卓手機(jī)上的指紋信息威脅，已經(jīng)讓基于傳感器的生物身份識(shí)別技術(shù)在大眾心中大打折扣，潛意識(shí)中人們覺(jué)得這種方法其實(shí)也不保險(xiǎn)。

　　信賴(lài)單純的一個(gè)指紋識(shí)別就能保證你和你手機(jī)的安全，這個(gè)想法本身就是錯(cuò)誤的。比如在法庭上面，警察當(dāng)然不能強(qiáng)迫你說(shuō)出什么密碼，但是卻可以強(qiáng)制獲取你的指紋，也就是說(shuō)如果你的手機(jī)設(shè)置了指紋識(shí)別，那么不管你同不同意，陌生人總有辦法讓你的手機(jī)向他敞開(kāi)。最理想的情況是將密碼和指紋識(shí)別綜合來(lái)保證安全，不過(guò)暫時(shí)貌似沒(méi)有哪個(gè)廠(chǎng)家想推出這種方案。

　　對(duì)比三星手機(jī)也有安全隱患，但它事后會(huì)公開(kāi)說(shuō)明事情原委，這當(dāng)然比要在硬件和軟件上下功夫升級(jí)要來(lái)得簡(jiǎn)單、省錢(qián)多了。可以這么做的原因，其實(shí)也是因?yàn)楹苌儆腥耸强瓷夏膫€(gè)手機(jī)的安全性而去買(mǎi)它，就算是看重手機(jī)安全性而購(gòu)買(mǎi)的那部分消費(fèi)者，也不見(jiàn)得真把它當(dāng)回事。

　　很有意思的是電子廠(chǎng)商一邊強(qiáng)調(diào)產(chǎn)品具備安全性能，另一方面在出事后卻告訴消費(fèi)者這其實(shí)沒(méi)什么大不了的。HTC這件丑聞反響很大，日前宣布的縮緊財(cái)政并全球裁員，應(yīng)該很大程度受此影響。

　　眾所周知這家廠(chǎng)商近來(lái)狀況本就很難堪。不過(guò)三星倒是一點(diǎn)問(wèn)題都沒(méi)有，早前一個(gè)簡(jiǎn)單的鍵盤(pán)程序漏洞就輕松讓6億用戶(hù)裸奔，三星也只是搪塞過(guò)去。后來(lái)還有索尼的rootkits事件，當(dāng)然這些都不及聯(lián)想預(yù)置的惡意廣告程序包來(lái)得糟糕，不過(guò)誰(shuí)能猜到后來(lái)還有驚世駭俗的Jeep汽車(chē)被黑客完全操控這件事呢。

　　所以當(dāng)前還是不要多相信什么電子防護(hù)措施能保證自己信息安全，這種問(wèn)題還會(huì)持續(xù)很久，只有到廠(chǎng)商真正意識(shí)到電子產(chǎn)品的信息安全幾乎比產(chǎn)品外形還重要的時(shí)候，可能才是你稍微可以放心的那天。當(dāng)然，HTC應(yīng)該對(duì)此深有感觸。