顶象 · 2022年08月30日 · 浙江

Q&A特辑 | 看了这场直播,我找到了设备指纹“从不说谎”的原因

除了身份证外,设备指纹可能是唯一一个可以证明你是谁的方法。

究其原因,就在于设备指纹的唯一性和稳定性。

8月 25 日下午 15 点,顶象技术总监杜威就设备指纹的唯一性和稳定性的核心算法展开分享。

图片1.png

直播过程中,我们也收到了一系列关于设备指纹唯一性稳定性核心算法的疑问,现将部分问答整理出来,供大家参考。感兴趣的同学也可关注顶象公众号或视频号回看直播重点。

Q1:App、小程序、H5对不同的平台是否能生成一样的设备ID?

杜威:App、小程序、H5采集信息来自各自平台,H5主要来自浏览器 ,小程序来自App提供的API,这三者采集信息差异很大,目前无法生成一样的指纹。 但可以通过一些手段打通App和H5,比如App内嵌的H5,可以进行桥接。 

Q2:顶象设备指纹安卓和iOS 的SDK体积大小是多少?集成之后的包体增量变化是多少?

杜威:一般来说,安卓 700K;iOS  300K;集成后对App大小的增量基本和SDK大小一致。

Q3:设备指纹怎样保证合规性,是否有采集用户隐私信息?

杜威:首先顶象指纹SDK具备国家权威机构出具的关于SDK是否允许采集隐私信息的检测报告。再者顶象设备指纹多年来已成功应用于多个行业的App,在隐私合规上能够满足各行业各场景的要求。

Q4:最近有媒体报道称银行的App人脸识别可被绕过,请问下设备指纹在人脸识别这块能起到什么作用?

杜威:这个要看攻击者使用哪些手段,如果是对App进行逆向和篡改,设备指纹是可以有效识别这一类风险的。

Q5:设备恢复出厂设置后,对设备指纹的影响有多大?

杜威:恢复出厂设置对指纹的稳定性挑战是比较大的,目前通过一些优化可以保证在大部分机型上达到恢复出厂后指纹不变的效果。

Q6:如果App被人逆向二次打包后,设备指纹是否能做一些识别?

杜威:可以的,指纹会获取App的签名、进程等信息, 这些信息可以用来判断App是否有重打包。

Q7:现在已经有了一套指纹系统,如果用顶象的,设备指纹能否和以前保持一致?

杜威:首先现在指纹的计算不是用硬件标识或者特征的hash值来直接作为指纹,一般指纹本身是随机生成的一个标识,各家的生成方式各不相同,所以标识这一点很难做到一致。但以前的设备数据是可以通过数据分析和新指纹数据关联到一起的。

Q8:怎么解决设备指纹唯一性的问题?现在合规原因,IMEI等信息都不让采集了,App重新安装了,怎么办?

杜威:这个正如分享里提到的,现在生成指纹不能只依赖几个重要字段,需要结合硬件,App,环境的各项数据构建设备画像。这样确保卸载重装等操作只会改变部分画像的数据。

Q9:设备指纹和指纹识别有什么区别?

杜威:设备指纹是设备的唯一标识。指纹识别指识别终端设备的一些风险。

Q10:碰撞检测有点没看懂,老师能再讲讲么?另外,降级token 如何理解?

杜威:这是利用UUID的随机性和唯一性,同一台设备UUID可以变化,但变化后,旧的UUID就不可能出现。如果出现就意味着出现碰撞。降级token指的是当前上报的网络出现异常,把本次上报的数据作为token。

Q11:降级token采集间隔是多久,如果能顺利传输,是否马上恢复正常指纹采集?

杜威:token是用业务调用API 驱动采集,一般是App在活跃期间采集一次。 正常传输的情况下, token可以实时查询指纹信息。

Q12:请问一下,降级token编码的时候,如果把设备信息编码进去的话,应该会导致token编码后很长吧,这块在应用使用过程中,会导致超长token问题么?(比如超过url长度限制等),这种顶象是怎么解决的啊?

杜威: token长度会比较长,一般这里建议使用post请求。

最后,再给大家简单介绍下顶象《业务安全大讲堂》系列直播课,本系列汇集业内大咖组建豪华讲师天团,剖析各类欺诈手段,详解前沿安全技术,帮助企业应对业务安全新风险。
图片2.png

下期将由顶象产品经理张祖凯为大家带来《保险代打卡对抗实战》的主题课程,敬请期待!

推荐阅读
关注数
6
文章数
221
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息