*近逛锤子论坛发现居然有教学 【通过 Tasker (非 root )方式解决微信指纹支付支付】,好奇搜了下,不能微信指纹支付的安卓手机还挺多,包括华为、小米。

之前 iPhone 越狱发现需要flyJB这类插件屏蔽越狱检测才能开启指纹支付、扫脸这些,这能理解。 但是支持指纹识别的 Android 手机,没有 Root,微信居然也不让用指纹,在这上面微信居然还有话语权?它是靠什么判断的?

 

64 条回复    2021-04-06 09:19:28 +08:00
codehz
    1

codehz   95 天前 via Android   ❤️ 1

需要厂商放根证书,然后在每个 app 上都开一个 Soter Service
kindjeff
    2

kindjeff   95 天前   ❤️ 24

众所周知腾讯游戏在 Android 上跑的帧率的高低也不由厂商的硬件性能决定而是由腾讯决定
wgbx
    3

wgbx   95 天前

看谁影响用户的力大,代码获取设备型号也挺简单的吧?
imdong
    4

imdong   95 天前

一边厂商设备要跑高帧率要通过交税来提高,一方面应用商店游戏提成 50%。

赤果果的互相伤害,可是鹬蚌相争,伤及渔夫。

zxcslove
    5

zxcslove   95 天前

腾讯不讲究,要拿指纹数据吧。如果是手机支持,那么每个录入的指纹都可以,微信的那就必须是微信录入的那一个才能用。
zxcslove
    6

zxcslove   95 天前

很多银行 app 都是所有录入指纹都能用的,为啥腾讯高人一等,不要脸。
vk42
    7

vk42   95 天前

关键在接口,原生 Android 里面 Google 搞了一套 biometric API,但是国内厂商自己又单独搞了一套。手里的 Pixel 用国外 app 指纹没有任何问题,国内 app 一个都不行……
tanranran
    8

tanranran   95 天前   ❤️ 2

腾讯的指纹标准

https://github.com/Tencent/soter

TENCENT SOTER 是腾讯于 2015 年开始制定的生物认证平台与标准,通过与厂商合作,目前已经在一百余款、数亿部 Android 设备上得到支持,并且这个数字还在快速增长。

目前,TENCENT SOTER 已经在微信指纹支付、微信公众号 /小程序指纹授权接口等场景使用,并得到了验证。

接入 TENCENT SOTER,你可以在不获取用户指纹图案的前提下,在 Android 设备上实现可信的指纹认证,获得与微信指纹支付一致的安全快捷认证体验。

tanranran
    9

tanranran   95 天前

@tanranran #8 需要厂商配合微信,而不是微信配合厂商
wangbenjun5
    10

wangbenjun5   95 天前

我感觉这块搞点有点复杂,指纹模块应该是一种硬件,大概类似于摄像头模块,只要符合摄像头相关接口的标准就可以调用

比如说手机用前置摄像头解锁或者面容支付,那我作为 App 开发者,只需要调用摄像头获取相机拍照的结果就行了,为什么还要关心用的是哪家摄像头呢?

强行把硬件和软件标准耦合在一起只会更麻烦,毕竟安卓是一个开放平台,又不是 ios 苹果一个人说了算,总之,腾讯垃圾

a5b6c7d8
    11

a5b6c7d8   95 天前 via Android

非得用腾讯产品?
miyuki
    12

miyuki   95 天前 via iPhone

一加也是,从 7 系列开始,只要解锁 bl 就没法用微信的指纹了,支付宝不影响
Maskeney
    13

Maskeney   95 天前

那当然是沆瀣一气,用户悲惨
john6lq
    14

john6lq   95 天前

@miyuki 这个无可厚非,关键啥都没干它也不支持,这就逼着厂商去跟他们对接。
mmdsun
    15

mmdsun   95 天前 via Android

@miyuki xposed 框架有个插件可以强制开指纹。
john6lq
    16

john6lq   95 天前

@a5b6c7d8 就事论事而已。真要说,用微信支付基本是被逼的,还是支付宝用的多。
john6lq
    17

john6lq   95 天前

@tanranran 果然。看了一下,腾讯说它是基于 Android 提供的接口进行的加密封装,并且”只是针对这些接口和厂商进行合作,进行了很强的安全加固”,我看就是加了个服务器校验以及可以拿到用户是用哪个手指进行的操作。这不就是流氓嘛,还是为了拿数据。而且居然国内几乎所有厂商都接入了。
love
    18

love   95 天前 via Android

还有这回事啊,可是我的小米是可以微信指纹的
treblex
    19

treblex   95 天前

没办法,毕竟钱要被盗刷了 手机厂商也不可能给赔,只能做做风险控制
czk1997
    20

czk1997   95 天前 via Android   ❤️ 3

微信说了算的。Android 都有现成的 API,但是腾讯和阿里又自己搞了一套。美行手机拿到国行就用不了(比如三星),硬件基本是一致的。银行 app 都可以用指纹,就这俩用不了。纯属有病。
eGlhb2Jhb2Jhbw
    21

eGlhb2Jhb2Jhbw   95 天前

还是安卓碎片化太严重了,谁能确保某些垃圾系统的安全性。忘了是哪个厂家了,刚做屏下指纹的时候,随便根火腿肠都能刷开。
norz
    22

norz   95 天前

指纹行业相关
lry
    23

lry   95 天前

之前菊花和企鹅指纹闹掰,传闻是企鹅想要菊花把指纹数据上传到企鹅服务器
*近菊花和企鹅游戏闹掰,也有传闻是企鹅是想要拿菊花用户的人脸识别数据
580a388da131
    24

580a388da131   95 天前

安卓上微信说了算 安卓那环境确实不安全 不信任腾讯纯粹是他们自己作孽太多
fanfpy
    25

fanfpy   95 天前

米九 se 解锁 bl 支付宝可以指纹支付,微信不可以
norz
    26

norz   95 天前   ❤️ 11

@norz 科普一下吧
先说结论,主要还是厂商做的选择
安全支付首先得知道两个大环境,REE 和 TEE,REE 是指 Real Execution Environment 真实执行环境,TEE 是指 Trust Execution Environment 可信执行环境。如果一个手机要支持指纹支付,就必须要有 TEE,TEE 可以简单的理解为绑定在某个独立 CPU 上,并且单独划分了独立的内存区域,不与 REE 有任何硬件共享的小型操作系统,Android 是不会提供的这方面支持的,而且也不是免费的。买高通套件,高通自带 QSEE (高通自己开发的 TEE ),如果是 MTK,那你就得自己去找 TEE 提供商买服务,主流是 Trustonic 、豆荚、瓶钵、trusty,这些都是厂商花钱才行,具体多少钱,反正也是按设备数收取的。
有了 TEE 环境,才轮到上面说的 SOTER,SOTER 本身标准出台也比支付宝的 IFAA 晚,所以有一些早期机型,由于 TEE 提供商未能集成 SOTER,导致不能支持微信支付。
去搜索了一下,可以看看这个 https://cloud.tencent.com/developer/article/1043485
据我所知,只是需要去支付宝和微信申请一下,拿到开发文档和测试 APK,都是免费的。只是对于厂商来说,都是麻烦事儿,多了测试流程,还要改产线。
kokutou
    27

kokutou   95 天前 via Android   ❤️ 1

米 10 解锁 bl 刷了 eu 版 rom
微信指纹没问题。我之前的米 8,米 9 刷了 eu 都没问题。
米 9 后来的魔趣 rom 也解决了微信指纹。lineageos 之类的 rom 微信指纹就不要想了。

美团,支付宝都能用 lineageos 这种原生 rom 的指纹接口,就 tm 微信不行。

但是微信上骗子*多,微信上钱被骗了 100%追不回来。
微信号说封就封。
腾讯人工服务永远找不到。

这就是 tm 的腾讯。

norz
    28

norz   95 天前   ❤️ 3

@norz
另外对于出海外的机器,TEE 还得支持 FIDO,这个是 VISA/MASTER 支付的要求,也是 Google 的测试项。
对于指纹或者人脸识别厂商来说,FIDO/IFAA/SOTER 其实都是在 TEE 中增加了自己的 TA ( Trust Application ),然后指纹厂商提供自己的 TA,当得到结果后,通过 TEE 内部的 TA 间交互接口将识别结果传递过去而已。所以楼上说微信、支付宝能拿个人数据的,也不可信。
px1396
    29

px1396   95 天前

@vk42 招行的 App 可以
norz
    30

norz   95 天前

@norz
至于楼上提到各种 rom 对于指纹支持的问题,要么是 rom 提供的 trustzone.img 或者 tee.img 不支持 soter,要么就是 rom 提供的 keymaster/keystore 是修改过的,因此无需 TEE 环境提供校验。前者可能性更大,但是从技术手段上来说,root 了一切都可行,第二种虽然风险高,但是一劳永逸…
Infinite2K
    31

Infinite2K   95 天前

@miyuki 这么狠,我的 7pro 当初首发没解锁 bl,之后一直想解锁但是数据太多不敢动,你这么一说我更不好解锁了
ntgeralt
    32

ntgeralt   95 天前

很明显,是微信评测你手机指纹综合素质后决定是否下放
fline
    33

fline   95 天前

党领导一切
passerbytiny
    34

passerbytiny   94 天前 via Android

*终决定权当然是微信,就比如你买东西能不能刷卡也是商家说了算(只不过有了 POS 机就必须能刷卡,因为给不给 POS 机是人行 /银监会说了算)。

当然看楼上的情况,微信就干了“装了 POS 机却只让刷部分卡”的事。

zsyld
    35

zsyld   94 天前

任何将生物信息传到服务器的厂商都是垃圾
HankAviator
    36

HankAviator   94 天前

@vk42 种种原因手机机型改成了 Pixel,用改机型的模块给微信返回个热门国产手机,指纹就可以用了,例如米 6
wy315700
    37

wy315700   94 天前 via iPhone

@norz 整个楼只有你是在分析技术 然而好像并没有人看
john6lq
    38

john6lq   94 天前 via iPhone

@wy315700 我觉得说服不了我,厂商还是要与微信对接,照这样下去,字节搞一个,美团搞一个,各个银行搞一个,做手机的不得疯了?这不扯犊子呢?人家国外咋没这么多幺蛾子?
john6lq
    39

john6lq   94 天前 via iPhone

@codehz 之前不了解,回头一看,发现一楼其实是“扫地僧”,只不过没有评价而已。瑞思拜。
hhyygg
    40

hhyygg   94 天前 via Android

学习了,真有意思
HankAviator
    41

HankAviator   94 天前   ❤️ 1

@norz “Android 是不会提供的这方面支持的,而且也不是免费的。”
Trusty 怎么就收费了呢?安卓官方:“资金成本加上不可靠的第三方系统会导致 Android 生态系统不稳定。我们将 Trusty 作为一种可靠且免费的开源替代方案提供给合作伙伴,用于替代其可信执行环境。Trusty 可提供通过封闭源代码系统无法实现的透明性。”
https://source.android.com/security/trusty
alfchin
    42

alfchin   94 天前 via iPhone

@HankAviator 我个人认为,不可 OTA 的东西开源才是*大的不安全因素。大幅度降低了针对性攻击的难度。
admingyu
    43

admingyu   94 天前   ❤️ 1

楼上一些回复看着真是…

如果像是摄像头一样,可以获取用户的脸部,自己对比校验是很方便听上去很好,

那是不是说 APP 就可以以指纹验证的理由,获取用户指纹原始数据?,那这个数据泄露了(或者说故意)拿去干一些违法的事情,这个后果谁来承担呢?人脸识别盗刷的事情还少吗

如果有厂商能制定一套值得信任的接口,APP 只能调用这个接口,只能拿到指纹校验的结果,对于用户来说,安全性能不比你自己拿用户的指纹原始数据做事情更高?

开发者不要总想着怎么方便怎么来,要有责任感

jjpprrrr
    44

jjpprrrr   94 天前

@kokutou #27 别的设备不知道,米 8 的 lineageos 微信、支付宝指纹应该是都没问题的。我是 PE 的 sdm845 设备维护者,跟 lineage 的 sdm845 维护者 Bruno 也经常同步代码……
HankAviator
    45

HankAviator   94 天前

@alfchin 密码算法的原理也都是公开的。金库就在那里,重赏之下必有勇夫。
不开源的东西发现和处理漏洞只会比开源的早,危害也会比开源的大。前者只是“看不到就不存在”和“不解决问题,解决会发现问题的方法”的消*做法罢了。
12101111
    46

12101111   94 天前

@norz TEE 是 security monitor 虚拟化执行的操作系统吧, 我看有一些早期的 CPU 的 TEE 和 bootloader 有 bug,可以直接提权到 el2/el3 上
kokutou
    47

kokutou   94 天前

@jjpprrrr #44
米 8 用 lineageos 很久之前了…中间还经过了米 9…现在是米 10米 10 咋回事啊, 感觉都没人做包…
alfchin
    48

alfchin   94 天前 via iPhone

@HankAviator 系统层的漏洞才是问题的源头,而不是密码算法。而且*近十年的实践中,开源软件的漏洞不比闭源软件少。
对于部署就无法更改的系统,*安全的做法是尽可能不暴露任何非必要细节,而不是满大街公开,然后被一击必杀。
norz
    49

norz   94 天前

@HankAviator 嗯,你说的没错,Android 确实提供了 Trusty 的方案,但是并不提供支持。目前国内方案只有展讯在使用 Trusty 就很能说明问题。
norz
    50

norz   94 天前

@12101111 破解、后门之类的我了解得不多,不过就数据流来说,除非生物识别设备的提供商、方案或者 TEE 有意设计后门接口,不然不可能直接拿到指纹或者人脸数据。
bclerdx
    51

bclerdx   94 天前 via Android

@czk1997 对啊,银行都用 google API 。难道银行的数据不是为了安全。就腾讯和阿里特别。
HankAviator
    52

HankAviator   94 天前

@norz 国内我接触的客户都有意无意在脱离国际知名的优秀产品,说到底也不是纯技术问题。
nomemo
    53

nomemo   94 天前

作为 iOS 用户弱弱问一句你们在讨论的啥??
ttys001
    54

ttys001   94 天前

这……都 2021 年了,有些安卓还不能指纹 /扫脸支付,每次还都要输密码?
php8
    55

php8   94 天前 via Android

华为微信是支持指纹支付的
yuhaijiang2019
    56

yuhaijiang2019   94 天前

这几年一直 lg 和 pixel 的洋垃圾,从来没体验过指纹支付
hs0000t
    57

hs0000t   94 天前

自从用过某个返回键和指纹放在一个实体按钮的手机,就再也没开过指纹支付
tianyamomo
    58

tianyamomo   93 天前

@zxcslove 貌似所有的应用都是拿不到指纹数据的,他拿到的只是一个验证结果
systemcall
    59

systemcall   93 天前

它是靠手机厂家愿不愿意听话判断的,够听话就给加
bullfrog
    60

bullfrog   93 天前

ios 用户表示已经手输密码 1 年了
no1xsyzy
    61

no1xsyzy   93 天前

@vk42 试试招行,我索尼港版系统可以
vk42
    62

vk42   93 天前

@HankAviator 你用的 Pixel 几代?据我所知至少 Pixel 3 之前用微信 /支付宝指纹方案都是要上 Xposed 或 Riru,山寨一个通过指纹自动输入密码的方式。毕竟海外版本手机基本都只有 FIDO,改个机型也改不出来 SOTER 啊……
realpg
    63

realpg   93 天前

小米不能微信指纹支付?我打出了一个大大的问号
sky96111
    64

sky96111   3 天前 via Android

@norz 纠正一下,Google 的 Trusty 不是开源免费的吗?
https://source.android.google.cn/security/trusty?hl=zh-cn