虹膜原始圖像是個(gè)人隱私數(shù)據(jù)的集中體現(xiàn)，例如正常的虹膜信息采集，應(yīng)通過專用信息網(wǎng)/互聯(lián)網(wǎng)絡(luò)/便捷式存儲媒介，按照安全模式，傳輸、傳送圖像特征到中心數(shù)據(jù)庫。但由于過程中存在采集、傳輸、入庫、比對等多個(gè)環(huán)節(jié)，還是存在隱私泄露的風(fēng)險(xiǎn)。

日前，國內(nèi)某機(jī)構(gòu)對一批虹膜識別儀進(jìn)行了安全測試，測試發(fā)現(xiàn)某國內(nèi)廠商所生產(chǎn)的虹膜識別儀的硬件部分與另一家公司的虹膜識別儀產(chǎn)品基本完全一致，測試結(jié)果同時(shí)表明，該產(chǎn)品的核心算法、圖像處理及設(shè)備控制程序同樣與對比的產(chǎn)品高度一致。

具體的測試報(bào)告以及這一問題所可能產(chǎn)生的安全隱患問題如下：

測試產(chǎn)品型號為：

北京萬里紅科技股份有限公司（中國）生產(chǎn)的WLH-Iris-JD6和WLH-Iris-JD7虹膜采集識別儀以及Iris ID System（美國）公司生產(chǎn)的iCAM T10虹膜采集識別設(shè)備。

虹膜設(shè)備拆機(jī)對比

1.外觀

從外觀上來看，萬里紅的WLH-Iris-JD6虹膜采集識別儀（以下簡稱JD6）和Iris ID的iCAM T10虹膜采集識別設(shè)備（以下簡稱T10）都有明確的廠家標(biāo)識，外觀不同，但設(shè)備USB接口出線的位置一致。

2.將采集套筒和核心模塊分離后（俯視圖）

JD6的核心模塊與外殼通過螺絲固定，而T10的核心模塊和外殼采用卡扣固定。如圖紅框標(biāo)注的位置，可以看出來兩個(gè)核心模塊在相同位置都有一個(gè)凹槽和四個(gè)固定孔位，僅僅是JD6沒有卡扣，而T10安裝了卡扣。

3.核心模塊的外觀圖（俯視圖）

兩個(gè)產(chǎn)品的核心模塊的正面外觀完全相同，鏡片、開孔位置、開孔大小和開孔形狀都完全相同。兩個(gè)模塊邊沿用于定位的凸起的位置和數(shù)目也完全一致。

4.核心模塊的外觀圖（正視圖）

兩個(gè)核心模塊外觀一樣，唯一不同的如紅框所示，JD6沒有英文字母，T10有IrisAccess（Iris ID公司的商標(biāo)）英文字樣。

5.核心模塊的后殼拆解圖（俯視圖）

拆開核心模塊后，發(fā)現(xiàn)JD6和T10的所有螺絲孔位和外殼形狀完全一致。

如紅框①所示，襯板的形狀完全一致，開孔位置和固定位置完全相同。

紅框②③位置的接插件形狀和位置完全相同。

6.核心模塊的攝像頭模塊分解圖（仰視圖）

拆除掉核心模塊的外殼后，露出鏡頭和LED所在的正面。JD6和T10都使用了兩個(gè)鏡頭，2類LED共8顆。兩個(gè)模塊的鏡頭、LED、接插件、連接線的外觀、位置、方向都一模一樣，如紅框①②。

7.核心模塊主板對比圖

核心模塊主板的背面來看，接插件接口、螺絲固定孔、電感、電路板邊緣覆銅的位置和形狀完全一致。如圖紅框①②所示。

8.核心模塊的主芯片細(xì)節(jié)圖對比

JD6和T10的核心模塊主板的主要芯片型號都是CY7C68013A，如紅框①所示，主板上元器件的絲印標(biāo)識的編號和位置完全一致，已焊接的元器件的外觀也完全一致，例如紅框②所示。

9.兩臺設(shè)備的驅(qū)動(dòng)信息對比。

兩臺設(shè)備都需要安裝驅(qū)動(dòng)才能夠正常工作，安裝萬里紅JD6的驅(qū)動(dòng)后，默認(rèn)的安裝目錄中顯示的產(chǎn)品型號是JD7。分別對比驅(qū)動(dòng)中幾個(gè)重要的文件信息如下：

1）JD6安裝驅(qū)動(dòng)后的驅(qū)動(dòng)文件所在目錄及文件列表

JD6的驅(qū)動(dòng)目錄中出現(xiàn)了“JD7”字樣，如紅框所示。

2）T10安裝驅(qū)動(dòng)后的驅(qū)動(dòng)文件所在目錄及文件列表

10.兩臺設(shè)備配套驅(qū)動(dòng)的核心文件對比

1）核心算法文件Iris2Pi.dll的對比

JD6和T10核心算法庫文件的基本信息完全一致，產(chǎn)品名稱顯示是美國Iris ID公司的算法庫。將這個(gè)文件互換后，兩個(gè)不同設(shè)備的驅(qū)動(dòng)都能夠正常工作。

2）JD6的libJD7EyeSeek.dll與T10的libT10EyeSeek.dll對比

這兩個(gè)動(dòng)態(tài)鏈接庫是圖像處理庫。雖然文件名有差異，但是兩者可以相互改成對方名字互相替換后，兩個(gè)不同設(shè)備的驅(qū)動(dòng)都能夠正常工作。

從文件信息來看，libJD7EyeSeek.dll的版權(quán)完全屬于美國Iris ID公司，如圖紅框①所示。

3）JD6的JD7Control.dll與T10的iCAMT10Control.dll對比

這兩個(gè)動(dòng)態(tài)鏈接庫是設(shè)備控制程序。從文件信息來看，JD7Control.dll的文件說明中出現(xiàn)了iCamT10的字樣，而且版權(quán)完全屬于美國Iris ID公司，如圖紅框①②所示。

11.萬里紅WLH-Iris-JD6和WLH-Iris-JD7虹膜采集識別儀對比

對比萬里紅主要的兩款虹膜設(shè)備，發(fā)現(xiàn)JD7與JD6硬件模塊完全一樣，軟件驅(qū)動(dòng)也一樣，只是型號不同。這也解釋了為什么兩款產(chǎn)品安裝之后的產(chǎn)品驅(qū)動(dòng)都顯示是JD7。

就以上測試信息可得出結(jié)論，硬件方面JD6虹膜采集識別設(shè)備與T10虹膜采集識別設(shè)備在外觀及內(nèi)部元件上高度一致，所使用的主要芯片型號相同；軟件方面國產(chǎn)JD6虹膜采集識別設(shè)備所使用的核心算法庫系、圖像處理庫，以及兩個(gè)控制虹膜識別儀的動(dòng)態(tài)鏈接庫都出自美國Iris ID公司。同時(shí)，該問題在該公司的另一款JD7虹膜識別儀上同樣存在。

測試證明的問題帶來的安全威脅

1.虹膜圖像是公民的生物特征信息，涉及國家安全，使用不具備自主知識產(chǎn)權(quán)的虹膜識別儀可能會(huì)造成關(guān)鍵信息源頭上的泄露。

2.從實(shí)際工作的操作流程來看，國產(chǎn)JD6和JD7虹膜設(shè)備的驅(qū)動(dòng)程序和算法程序與T10產(chǎn)品基本一致。假使程序中包含惡意代碼，那么虹膜圖像和虹膜特征等個(gè)人隱私信息將面臨泄露風(fēng)險(xiǎn)。

3.可能存在的威脅預(yù)警

a) 軟件后門

虹膜采集識別設(shè)備完成正常采集操作需要在目標(biāo)操作系統(tǒng)上安裝驅(qū)動(dòng)程序，并且在日后使用過程中升級更新驅(qū)動(dòng)程序。這些驅(qū)動(dòng)程序驅(qū)動(dòng)硬件設(shè)備，故在系統(tǒng)中的運(yùn)行權(quán)限較高。若該驅(qū)動(dòng)程序存在后門，在特定的時(shí)機(jī)觸發(fā)（例如特定的時(shí)間，特定的外部信號等），可實(shí)現(xiàn)對目標(biāo)系統(tǒng)和網(wǎng)絡(luò)的全面控制和攻擊。又因?yàn)轵?qū)動(dòng)程序基本為二進(jìn)制，實(shí)際操作內(nèi)容并不透明。即使通過逆向分析等方法，也不能完全保證發(fā)現(xiàn)后門程序。除此以外，該后門程序還可以偽裝成邏輯漏洞，即使被發(fā)現(xiàn)也可以推諉為系統(tǒng)缺陷，故通過該方式發(fā)起的攻擊行為欺騙性、迷惑性都非常高，也使得防守上更為困難。

b) 硬件后門

硬件芯片由于高度集成所以無法確認(rèn)芯片內(nèi)的執(zhí)行邏輯，虹膜設(shè)備在芯片中藏匿各種硬件執(zhí)行邏輯很難被發(fā)現(xiàn)。若使用特定的觸發(fā)機(jī)制，檢測發(fā)現(xiàn)硬件后門是非常難的。更為嚴(yán)重的是，硬件芯片幾乎可以完成所有軟件后門程序的工作，并且無法被清除。

c) 服務(wù)后門

另一安全隱患在于，某些特定的條件下，例如特定的日期，虹膜采集過程就會(huì)采集非正確的數(shù)據(jù)，從而使數(shù)據(jù)匹配失敗，不能進(jìn)行正常的操作，導(dǎo)致整個(gè)虹膜系統(tǒng)癱瘓。