最近逛锤子论坛发现居然有教学 通过 Tasker (非 root )方式解决微信指纹支付支付,好奇搜了下,不能微信指纹支付的安卓手机还挺多,包括华为、小米。
之前 iPhone 越狱发现需要flyJB
这类插件屏蔽越狱检测才能开启指纹支付、扫脸这些,这能理解。
但是支持指纹识别的 Android 手机,没有 Root,微信居然也不让用指纹,在这上面微信居然还有话语权?它是靠什么判断的?
1
codehz 2021-01-04 11:25:47 +08:00 via Android 1
需要厂商放根证书,然后在每个 app 上都开一个 Soter Service
|
2
kindjeff 2021-01-04 11:28:14 +08:00 24
众所周知腾讯游戏在 Android 上跑的帧率的高低也不由厂商的硬件性能决定而是由腾讯决定
|
3
wgbx 2021-01-04 11:32:30 +08:00
看谁影响用户的力大,代码获取设备型号也挺简单的吧?
|
4
imdong 2021-01-04 11:36:54 +08:00 1
一边厂商设备要跑高帧率要通过交税来提高,一方面应用商店游戏提成 50%。
赤果果的互相伤害,可是鹬蚌相争,伤及渔夫。 |
5
zxcslove 2021-01-04 11:37:28 +08:00
腾讯不讲究,要拿指纹数据吧。如果是手机支持,那么每个录入的指纹都可以,微信的那就必须是微信录入的那一个才能用。
|
6
zxcslove 2021-01-04 11:37:53 +08:00
很多银行 app 都是所有录入指纹都能用的,为啥腾讯高人一等,不要脸。
|
7
vk42 2021-01-04 11:41:04 +08:00
关键在接口,原生 Android 里面 Google 搞了一套 biometric API,但是国内厂商自己又单独搞了一套。手里的 Pixel 用国外 app 指纹没有任何问题,国内 app 一个都不行……
|
8
tanranran 2021-01-04 11:42:03 +08:00 2
腾讯的指纹标准
https://github.com/Tencent/soter TENCENT SOTER 是腾讯于 2015 年开始制定的生物认证平台与标准,通过与厂商合作,目前已经在一百余款、数亿部 Android 设备上得到支持,并且这个数字还在快速增长。 目前,TENCENT SOTER 已经在微信指纹支付、微信公众号 /小程序指纹授权接口等场景使用,并得到了验证。 接入 TENCENT SOTER,你可以在不获取用户指纹图案的前提下,在 Android 设备上实现可信的指纹认证,获得与微信指纹支付一致的安全快捷认证体验。 |
10
wangbenjun5 2021-01-04 11:52:05 +08:00
我感觉这块搞点有点复杂,指纹模块应该是一种硬件,大概类似于摄像头模块,只要符合摄像头相关接口的标准就可以调用
比如说手机用前置摄像头解锁或者面容支付,那我作为 App 开发者,只需要调用摄像头获取相机拍照的结果就行了,为什么还要关心用的是哪家摄像头呢? 强行把硬件和软件标准耦合在一起只会更麻烦,毕竟安卓是一个开放平台,又不是 ios 苹果一个人说了算,总之,腾讯垃圾 |
11
a5b6c7d8 2021-01-04 11:54:54 +08:00 via Android
非得用腾讯产品?
|
12
miyuki 2021-01-04 11:56:38 +08:00 via iPhone
一加也是,从 7 系列开始,只要解锁 bl 就没法用微信的指纹了,支付宝不影响
|
13
Maskeney 2021-01-04 12:08:16 +08:00
那当然是沆瀣一气,用户悲惨
|
17
john6lq OP @tanranran 果然。看了一下,腾讯说它是基于 Android 提供的接口进行的加密封装,并且"只是针对这些接口和厂商进行合作,进行了很强的安全加固",我看就是加了个服务器校验以及可以拿到用户是用哪个手指进行的操作。这不就是流氓嘛,还是为了拿数据。而且居然国内几乎所有厂商都接入了。
|
18
love 2021-01-04 13:24:59 +08:00 via Android
还有这回事啊,可是我的小米是可以微信指纹的
|
19
treblex 2021-01-04 13:29:09 +08:00
没办法,毕竟钱要被盗刷了 手机厂商也不可能给赔,只能做做风险控制
|
20
czk1997 2021-01-04 13:52:16 +08:00 via Android 3
微信说了算的。Android 都有现成的 API,但是腾讯和阿里又自己搞了一套。美行手机拿到国行就用不了(比如三星),硬件基本是一致的。银行 app 都可以用指纹,就这俩用不了。纯属有病。
|
21
eGlhb2Jhb2Jhbw 2021-01-04 14:45:13 +08:00
还是安卓碎片化太严重了,谁能确保某些垃圾系统的安全性。忘了是哪个厂家了,刚做屏下指纹的时候,随便根火腿肠都能刷开。
|
22
norz 2021-01-04 14:56:36 +08:00
指纹行业相关
|
23
lry 2021-01-04 15:04:32 +08:00
之前菊花和企鹅指纹闹掰,传闻是企鹅想要菊花把指纹数据上传到企鹅服务器
最近菊花和企鹅游戏闹掰,也有传闻是企鹅是想要拿菊花用户的人脸识别数据 |
24
580a388da131 2021-01-04 15:07:34 +08:00
安卓上微信说了算 安卓那环境确实不安全 不信任腾讯纯粹是他们自己作孽太多
|
25
fanfpy 2021-01-04 15:10:19 +08:00
米九 se 解锁 bl 支付宝可以指纹支付,微信不可以
|
26
norz 2021-01-04 15:13:39 +08:00 12
@norz 科普一下吧
先说结论,主要还是厂商做的选择 安全支付首先得知道两个大环境,REE 和 TEE,REE 是指 Real Execution Environment 真实执行环境,TEE 是指 Trust Execution Environment 可信执行环境。如果一个手机要支持指纹支付,就必须要有 TEE,TEE 可以简单的理解为绑定在某个独立 CPU 上,并且单独划分了独立的内存区域,不与 REE 有任何硬件共享的小型操作系统,Android 是不会提供的这方面支持的,而且也不是免费的。买高通套件,高通自带 QSEE (高通自己开发的 TEE ),如果是 MTK,那你就得自己去找 TEE 提供商买服务,主流是 Trustonic 、豆荚、瓶钵、trusty,这些都是厂商花钱才行,具体多少钱,反正也是按设备数收取的。 有了 TEE 环境,才轮到上面说的 SOTER,SOTER 本身标准出台也比支付宝的 IFAA 晚,所以有一些早期机型,由于 TEE 提供商未能集成 SOTER,导致不能支持微信支付。 去搜索了一下,可以看看这个 https://cloud.tencent.com/developer/article/1043485 据我所知,只是需要去支付宝和微信申请一下,拿到开发文档和测试 APK,都是免费的。只是对于厂商来说,都是麻烦事儿,多了测试流程,还要改产线。 |
27
kokutou 2021-01-04 15:17:45 +08:00 via Android 1
米 10 解锁 bl 刷了 eu 版 rom
微信指纹没问题。 我之前的米 8,米 9 刷了 eu 都没问题。 米 9 后来的魔趣 rom 也解决了微信指纹。 lineageos 之类的 rom 微信指纹就不要想了。 美团,支付宝都能用 lineageos 这种原生 rom 的指纹接口,就 tm 微信不行。 但是微信上骗子最多,微信上钱被骗了 100%追不回来。 微信号说封就封。 腾讯人工服务永远找不到。 这就是 tm 的腾讯。 |
28
norz 2021-01-04 15:21:58 +08:00 3
@norz
另外对于出海外的机器,TEE 还得支持 FIDO,这个是 VISA/MASTER 支付的要求,也是 Google 的测试项。 对于指纹或者人脸识别厂商来说,FIDO/IFAA/SOTER 其实都是在 TEE 中增加了自己的 TA ( Trust Application ),然后指纹厂商提供自己的 TA,当得到结果后,通过 TEE 内部的 TA 间交互接口将识别结果传递过去而已。所以楼上说微信、支付宝能拿个人数据的,也不可信。 |
30
norz 2021-01-04 15:50:45 +08:00
@norz
至于楼上提到各种 rom 对于指纹支持的问题,要么是 rom 提供的 trustzone.img 或者 tee.img 不支持 soter,要么就是 rom 提供的 keymaster/keystore 是修改过的,因此无需 TEE 环境提供校验。前者可能性更大,但是从技术手段上来说,root 了一切都可行,第二种虽然风险高,但是一劳永逸... |
31
Infinite2K 2021-01-04 16:27:49 +08:00
@miyuki 这么狠,我的 7pro 当初首发没解锁 bl,之后一直想解锁但是数据太多不敢动,你这么一说我更不好解锁了
|
32
ntgeralt 2021-01-04 16:53:15 +08:00
很明显,是微信评测你手机指纹综合素质后决定是否下放
|
33
fline 2021-01-04 16:57:04 +08:00
党领导一切
|
34
passerbytiny 2021-01-04 17:12:13 +08:00 via Android
最终决定权当然是微信,就比如你买东西能不能刷卡也是商家说了算(只不过有了 POS 机就必须能刷卡,因为给不给 POS 机是人行 /银监会说了算)。
当然看楼上的情况,微信就干了“装了 POS 机却只让刷部分卡”的事。 |
35
zsyld 2021-01-04 21:19:05 +08:00
任何将生物信息传到服务器的厂商都是垃圾
|
36
HankAviator 2021-01-04 21:45:33 +08:00
@vk42 种种原因手机机型改成了 Pixel,用改机型的模块给微信返回个热门国产手机,指纹就可以用了,例如米 6
|
38
john6lq OP @wy315700 我觉得说服不了我,厂商还是要与微信对接,照这样下去,字节搞一个,美团搞一个,各个银行搞一个,做手机的不得疯了?这不扯犊子呢?人家国外咋没这么多幺蛾子?
|
40
hhyygg 2021-01-05 00:39:42 +08:00 via Android
学习了,真有意思
|
41
HankAviator 2021-01-05 08:19:17 +08:00 1
@norz “Android 是不会提供的这方面支持的,而且也不是免费的。”
Trusty 怎么就收费了呢?安卓官方:“资金成本加上不可靠的第三方系统会导致 Android 生态系统不稳定。我们将 Trusty 作为一种可靠且免费的开源替代方案提供给合作伙伴,用于替代其可信执行环境。Trusty 可提供通过封闭源代码系统无法实现的透明性。” https://source.android.com/security/trusty |
42
alfchin 2021-01-05 08:53:40 +08:00 via iPhone
@HankAviator 我个人认为,不可 OTA 的东西开源才是极大的不安全因素。大幅度降低了针对性攻击的难度。
|
43
admingyu 2021-01-05 09:51:28 +08:00 1
楼上一些回复看着真是...
如果像是摄像头一样,可以获取用户的脸部,自己对比校验是很方便听上去很好, 那是不是说 APP 就可以以指纹验证的理由,获取用户指纹原始数据?,那这个数据泄露了(或者说故意)拿去干一些违法的事情,这个后果谁来承担呢?人脸识别盗刷的事情还少吗 如果有厂商能制定一套值得信任的接口,APP 只能调用这个接口,只能拿到指纹校验的结果,对于用户来说,安全性能不比你自己拿用户的指纹原始数据做事情更高? 开发者不要总想着怎么方便怎么来,要有责任感 |
44
jjpprrrr 2021-01-05 10:02:58 +08:00
@kokutou #27 别的设备不知道,米 8 的 lineageos 微信、支付宝指纹应该是都没问题的。我是 PE 的 sdm845 设备维护者,跟 lineage 的 sdm845 维护者 Bruno 也经常同步代码……
|
45
HankAviator 2021-01-05 13:36:49 +08:00
@alfchin 密码算法的原理也都是公开的。金库就在那里,重赏之下必有勇夫。
不开源的东西发现和处理漏洞只会比开源的早,危害也会比开源的大。前者只是“看不到就不存在”和“不解决问题,解决会发现问题的方法”的消极做法罢了。 |
46
12101111 2021-01-05 13:57:39 +08:00
@norz TEE 是 security monitor 虚拟化执行的操作系统吧, 我看有一些早期的 CPU 的 TEE 和 bootloader 有 bug,可以直接提权到 el2/el3 上
|
47
kokutou 2021-01-05 14:11:25 +08:00
|
48
alfchin 2021-01-05 14:32:16 +08:00 via iPhone
@HankAviator 系统层的漏洞才是问题的源头,而不是密码算法。而且最近十年的实践中,开源软件的漏洞不比闭源软件少。
对于部署就无法更改的系统,最安全的做法是尽可能不暴露任何非必要细节,而不是满大街公开,然后被一击必杀。 |
49
norz 2021-01-05 14:47:12 +08:00
@HankAviator 嗯,你说的没错,Android 确实提供了 Trusty 的方案,但是并不提供支持。目前国内方案只有展讯在使用 Trusty 就很能说明问题。
|
50
norz 2021-01-05 14:52:00 +08:00
@12101111 破解、后门之类的我了解得不多,不过就数据流来说,除非生物识别设备的提供商、方案或者 TEE 有意设计后门接口,不然不可能直接拿到指纹或者人脸数据。
|
51
bclerdx 2021-01-05 15:07:51 +08:00 via Android
@czk1997 对啊,银行都用 google API 。难道银行的数据不是为了安全。就腾讯和阿里特别。
|
52
HankAviator 2021-01-05 15:11:27 +08:00
@norz 国内我接触的客户都有意无意在脱离国际知名的优秀产品,说到底也不是纯技术问题。
|
53
nomemo 2021-01-05 15:17:59 +08:00
作为 iOS 用户弱弱问一句你们在讨论的啥?🐶
|
54
ttys001 2021-01-05 15:24:04 +08:00
这……都 2021 年了,有些安卓还不能指纹 /扫脸支付,每次还都要输密码?
|
55
php8 2021-01-05 15:34:29 +08:00 via Android
华为微信是支持指纹支付的
|
56
yuhaijiang2019 2021-01-05 16:20:22 +08:00
这几年一直 lg 和 pixel 的洋垃圾,从来没体验过指纹支付
|
57
hs0000t 2021-01-05 16:40:44 +08:00
自从用过某个返回键和指纹放在一个实体按钮的手机,就再也没开过指纹支付
|
58
tianyamomo 2021-01-05 18:05:19 +08:00
@zxcslove 貌似所有的应用都是拿不到指纹数据的,他拿到的只是一个验证结果
|
59
systemcall 2021-01-05 21:54:22 +08:00
它是靠手机厂家愿不愿意听话判断的,够听话就给加
|
60
bullfrog 2021-01-06 10:07:19 +08:00
ios 用户表示已经手输密码 1 年了
|
62
vk42 2021-01-06 11:49:23 +08:00
@HankAviator 你用的 Pixel 几代?据我所知至少 Pixel 3 之前用微信 /支付宝指纹方案都是要上 Xposed 或 Riru,山寨一个通过指纹自动输入密码的方式。毕竟海外版本手机基本都只有 FIDO,改个机型也改不出来 SOTER 啊……
|
63
realpg 2021-01-06 13:37:56 +08:00
小米不能微信指纹支付?我打出了一个大大的问号
|
64
sky96111 2021-04-06 09:19:28 +08:00 via Android
|