一、邁瑞微披露“指紋識(shí)別安全漏洞”?

2017年11月，邁瑞微電子舉辦“安全指紋·物聯(lián)生活”技術(shù)發(fā)布會(huì)，首次披露存在于智能手機(jī)的指紋識(shí)別安全漏洞：在指紋傳感器上貼覆帶有導(dǎo)電涂層的貼膜，不影響已注冊(cè)指紋解鎖；但已注冊(cè)指紋使用后，未注冊(cè)的指紋也能解鎖。2017年12月起，好奇實(shí)驗(yàn)室等為代表的科技媒體對(duì)智能手機(jī)指紋識(shí)別安全漏洞進(jìn)行了持續(xù)披露。2018年1月起，中央電視臺(tái)多個(gè)新聞欄目向全國人民滾動(dòng)報(bào)道了智能手機(jī)指紋識(shí)別安全漏洞。同期以人民日?qǐng)?bào)、揚(yáng)子晚報(bào)為代表的綜合性媒體也對(duì)智能手機(jī)指紋識(shí)別安全漏洞進(jìn)行了報(bào)道。

二、質(zhì)檢總局高度重視限時(shí)整改

2017年12月，質(zhì)檢總局委托工業(yè)和信息化部電子第五研究所，對(duì)國內(nèi)品牌五款智能手機(jī)，同時(shí)選擇兩款國外品牌進(jìn)行對(duì)比實(shí)驗(yàn)，通過驗(yàn)證實(shí)驗(yàn)表明報(bào)道中情況屬實(shí)。2018年1月質(zhì)檢總局召開智能手機(jī)指紋識(shí)別信息安全情況分析座談會(huì)，五家智能手機(jī)企業(yè)及一家指紋傳感器芯片企業(yè)到場(chǎng)，質(zhì)檢總局領(lǐng)導(dǎo)要求涉事廠商限于2018年5月之前對(duì)已上市手機(jī)的指紋鎖機(jī)型推送升級(jí)補(bǔ)丁解決安全漏洞，并舉一反三，關(guān)注生物特征識(shí)別存在的信息安全問題。

三、安全漏洞升級(jí)補(bǔ)丁現(xiàn)狀?

邁瑞微公司在主動(dòng)監(jiān)控中發(fā)現(xiàn)，不少已存在指紋識(shí)別安全漏洞的智能手機(jī)，雖然經(jīng)過了幾次推送升級(jí)，但并沒有解決該安全漏洞，仍然采用類似專利ZL201010131219.7《抵御指紋殘留的指紋識(shí)別系統(tǒng)和方法》中的技術(shù)方法，只對(duì)不移動(dòng)的攻擊圖案起到防御效果，但并不能修補(bǔ)安全漏洞抵御貼膜方式的攻擊。（詳情可參照點(diǎn)擊以下鏈接：視頻詳情 ）

四、邁瑞微揭示防御原理

指紋識(shí)別是為數(shù)不多的由中國人站在技術(shù)頂尖位置的領(lǐng)域，早在2006年，由歐美研究機(jī)構(gòu)主辦的FVC國際指紋識(shí)別競賽中，登記國籍為中國的個(gè)人和企業(yè)已經(jīng)包攬了有限資源組前4名。貼膜破解安全漏洞的防御方法被中國自主知識(shí)產(chǎn)權(quán)指紋識(shí)別技術(shù)企業(yè)普遍掌握，已有三家長期從事指紋識(shí)別技術(shù)研發(fā)的中國廠商通過了邁瑞微的防貼膜破解原理性論證，分別是蘇州邁瑞微、上海圖正、杭州晟元。

早在2017年11月“安全指紋·物聯(lián)生活”技術(shù)發(fā)布會(huì)上，邁瑞微就披露了解決該漏洞的方法：檢測(cè)圖像是否為指紋；檢查匹配重疊區(qū)域是否具備一致性，擁有自主知識(shí)產(chǎn)權(quán)的中國指紋識(shí)別技術(shù)廠商都掌握該技術(shù)方法，但國內(nèi)手機(jī)市場(chǎng)普遍沒有采用安防業(yè)普遍應(yīng)用的先進(jìn)的自主技術(shù)。

五、邁瑞微提供軟件解決方案

邁瑞微電子自即日起到2018年12月，對(duì)已上市手機(jī)的指紋鎖機(jī)型提供安全升級(jí)補(bǔ)丁的軟件服務(wù)，以經(jīng)過對(duì)質(zhì)量和知識(shí)產(chǎn)權(quán)極端重視的北美市場(chǎng)考驗(yàn)的先進(jìn)技術(shù)來服務(wù)國內(nèi)手機(jī)市場(chǎng)。在服務(wù)順序和定價(jià)上將遵循以下原則：第一、先報(bào)名者價(jià)低，后報(bào)名者價(jià)高，因?yàn)榘踩雷o(hù)越早成本越低，亡羊補(bǔ)牢成本高；第二，以智能手機(jī)首發(fā)價(jià)為基數(shù)按比例定價(jià)，因?yàn)榘踩膬r(jià)值取決于保護(hù)什么。具體實(shí)施細(xì)則如下：

（1）與競爭對(duì)手的指紋芯片搭配的安全指紋識(shí)別軟件并非邁瑞微標(biāo)準(zhǔn)產(chǎn)品，以智能手機(jī)機(jī)型為報(bào)名單元，委托方應(yīng)報(bào)備智能手機(jī)機(jī)型、電子配置列表、指紋傳感器型號(hào)、上市時(shí)間、首次公開報(bào)價(jià)、總銷售量；報(bào)名者應(yīng)在15天內(nèi)打預(yù)付款，以郵件送達(dá)日為報(bào)名日，超出15天打款以款到日提前15天為報(bào)名日；型號(hào)的定義以存在影響指紋識(shí)別表現(xiàn)的電子配置差異為準(zhǔn)，例如使用兩種Memory的“同款手機(jī)”將被認(rèn)為是兩個(gè)機(jī)型，以免在兼容性上發(fā)生爭議。

（2）預(yù)付金為每機(jī)型10萬元人民幣，用于TEE環(huán)境下指紋識(shí)別TA的開發(fā)費(fèi)用，不對(duì)指紋識(shí)別軟件運(yùn)行于REE的機(jī)型提供服務(wù)；對(duì)一個(gè)機(jī)型，每款競品指紋傳感器收費(fèi)5萬元人民幣開發(fā)費(fèi)；邁瑞微軟件已適配主要國產(chǎn)TEE，如果委托方指定邁瑞微未適配過的TEE，則視開發(fā)困難程度，每機(jī)型額外支付邁瑞微10萬元-20萬元人民幣開發(fā)費(fèi)用并承擔(dān)TEE供應(yīng)商要求的費(fèi)用，并可能被降低優(yōu)先級(jí)；不同機(jī)型的報(bào)名時(shí)間和費(fèi)用獨(dú)立核算，簽訂開發(fā)合同時(shí)多退少補(bǔ)；因委托方或第三方的原因?qū)е麻_發(fā)成本上升，由委托方承擔(dān)。

（3）每pcs手機(jī)的軟件授權(quán)費(fèi)以手機(jī)指紋鎖機(jī)型首次公開報(bào)價(jià)為基準(zhǔn)，隨時(shí)間上升：5月之前報(bào)名的，按0.2%收??；6月1日至6月30日?qǐng)?bào)名的，按0.4%收?。?月1日至7月31日?qǐng)?bào)名的，按0.6%收取；8月1日至8月31日?qǐng)?bào)名的，以0.8%收??；9月1日至9月30日?qǐng)?bào)名的，以1.0%收取；10月報(bào)名的，以1.2%收取；11月報(bào)名的，以1.4%收?。?2月報(bào)名的，以1.6%收取。在邁瑞微交付安全軟件之前，委托方應(yīng)一次性交清該機(jī)型全部軟件授權(quán)費(fèi)。

為避免競爭對(duì)手獲得邁瑞微核心技術(shù)：

（1）在邁瑞微辦公住所進(jìn)行開發(fā)，邁瑞微編譯打包TA，委托方提供技術(shù)支持；

（2）委托方不得逆向工程，不得在其他機(jī)型使用邁瑞微的軟件，不得向第三方擴(kuò)散邁瑞微提供的任何數(shù)據(jù)和資料；

（3）委托方不得向邁瑞微員工套取信息，不得要求邁瑞微員工與含邁瑞微競爭對(duì)手在內(nèi)的第三方直接溝通。

符合如下情形，邁瑞微有權(quán)拒絕和終止軟件開發(fā)服務(wù)，不退還已支付的預(yù)付金或開發(fā)費(fèi)：

（1）委托方對(duì)費(fèi)用存在異議的，或委托方提供虛假報(bào)備信息的；

（2）有證據(jù)表明該機(jī)型涉嫌侵犯邁瑞微專利權(quán)，且協(xié)商無果的；

（3）因委托方管理或技術(shù)問題導(dǎo)致開發(fā)無法開展或進(jìn)展緩慢的；

（4）因競品指紋傳感器或TEE等相關(guān)第三方原因?qū)е麻_發(fā)無法進(jìn)展的；

（5）委托方試圖只升級(jí)部分競品指紋傳感器，且不能證明其余競品指紋傳感器已解決安全漏洞的；

（6）委托方曾使用非市場(chǎng)手段獲取邁瑞微技術(shù)秘密行為在先，雙方尚未和解的；

（7）委托方或相關(guān)第三方在開發(fā)過程中有其他損害邁瑞微合法利益的行為的。

六、中國芯在部分領(lǐng)域已世界領(lǐng)先

目前在指紋芯片領(lǐng)域，中國公司自思想理論層面開始便全盤原創(chuàng)，在智能門鎖為代表的安防市場(chǎng)，邁瑞微為代表的自主領(lǐng)先技術(shù)也成為主流產(chǎn)品。希望作為市場(chǎng)主體的企業(yè)普遍重視質(zhì)量、普遍尊重事實(shí)，發(fā)揮市場(chǎng)的有效調(diào)節(jié)機(jī)制才會(huì)發(fā)生作用。邁瑞微公司全體成員向中國安防業(yè)優(yōu)秀的企業(yè)家們、積極有為的主管部門和深耕世界市場(chǎng)的著名品牌們致敬。