虹膜原始影象是個人隱私資料的集中體現，例如正常的虹膜資訊採集，應透過專用資訊網/網際網路絡/便捷式儲存媒介，按照安全模式，傳輸、傳送影象特徵到中心資料庫。但由於過程中存在採集、傳輸、入庫、比對等多個環節，還是存在隱私洩露的風險。

日前，國內某機構對一批虹膜識別儀進行了安全測試，測試發現某國內廠商所生產的虹膜識別儀的硬體部分與另一家公司的虹膜識別儀產品基本完全一致，測試結果同時表明，該產品的核心演算法、影象處理及裝置控制程式同樣與對比的產品高度一致。

具體的測試報告以及這一問題所可能產生的安全隱患問題如下：

測試產品型號為：

北京萬里紅科技股份有限公司（中國）生產的WLH-Iris-JD6和WLH-Iris-JD7虹膜採集識別儀以及Iris ID System（美國）公司生產的iCAM T10虹膜採集識別裝置。

虹膜裝置拆機對比

1.外觀

從外觀上來看，萬里紅的WLH-Iris-JD6虹膜採集識別儀（以下簡稱JD6）和Iris ID的iCAM T10虹膜採集識別裝置（以下簡稱T10）都有明確的廠家標識，外觀不同，但裝置USB接口出線的位置一致。

2.將採集套筒和核心模組分離後（俯檢視）

JD6的核心模組與外殼透過螺絲固定，而T10的核心模組和外殼採用卡扣固定。如圖紅框標註的位置，可以看出來兩個核心模組在相同位置都有一個凹槽和四個固定孔位，僅僅是JD6沒有卡扣，而T10安裝了卡扣。

3.核心模組的外觀圖（俯檢視）

兩個產品的核心模組的正面外觀完全相同，鏡片、開孔位置、開孔大小和開孔形狀都完全相同。兩個模組邊沿用於定位的凸起的位置和數目也完全一致。

4.核心模組的外觀圖（正檢視）

兩個核心模組外觀一樣，唯一不同的如紅框所示，JD6沒有英文字母，T10有IrisAccess（Iris ID公司的商標）英文字樣。

5.核心模組的後殼拆解圖（俯檢視）

拆開核心模組後，發現JD6和T10的所有螺絲孔位和外殼形狀完全一致。

如紅框①所示，襯板的形狀完全一致，開孔位置和固定位置完全相同。

6.核心模組的攝像頭模組分解圖（仰檢視）

拆除掉核心模組的外殼後，露出鏡頭和LED所在的正面。JD6和T10都使用了兩個鏡頭，2類LED共8顆。兩個模組的鏡頭、LED、接外掛、連線線的外觀、位置、方向都一模一樣，如紅框①②。

7.核心模組主機板對比圖

核心模組主機板的背面來看，接外掛介面、螺絲固定孔、電感、電路板邊緣覆銅的位置和形狀完全一致。如圖紅框①②所示。

8.核心模組的主晶片細節圖對比

JD6和T10的核心模組主機板的主要晶片型號都是CY7C68013A，如紅框①所示，主機板上元器件的絲印標識的編號和位置完全一致，已焊接的元器件的外觀也完全一致，例如紅框②所示。

9.兩臺裝置的驅動資訊對比。

兩臺裝置都需要安裝驅動才能夠正常工作，安裝萬里紅JD6的驅動後，預設的安裝目錄中顯示的產品型號是JD7。分別對比驅動中幾個重要的檔案資訊如下：

1）JD6安裝驅動後的驅動檔案所在目錄及檔案列表

JD6的驅動目錄中出現了“JD7”字樣，如紅框所示。

2）T10安裝驅動後的驅動檔案所在目錄及檔案列表

10.兩臺裝置配套驅動的核心檔案對比

1）核心演算法檔案Iris2Pi.dll的對比

JD6和T10核心演算法庫檔案的基本資訊完全一致，產品名稱顯示是美國Iris ID公司的演算法庫。將這個檔案互換後，兩個不同裝置的驅動都能夠正常工作。

2）JD6的libJD7EyeSeek.dll與T10的libT10EyeSeek.dll對比

這兩個動態連結庫是影象處理庫。雖然檔名有差異，但是兩者可以相互改成對方名字互相替換後，兩個不同裝置的驅動都能夠正常工作。

3）JD6的JD7Control.dll與T10的iCAMT10Control.dll對比

11.萬里紅WLH-Iris-JD6和WLH-Iris-JD7虹膜採集識別儀對比

對比萬里紅主要的兩款虹膜裝置，發現JD7與JD6硬體模組完全一樣，軟體驅動也一樣，只是型號不同。這也解釋了為什麼兩款產品安裝之後的產品驅動都顯示是JD7。

就以上測試資訊可得出結論，硬體方面JD6虹膜採集識別裝置與T10虹膜採集識別裝置在外觀及內部元件上高度一致，所使用的主要晶片型號相同；軟體方面國產JD6虹膜採集識別裝置所使用的核心演算法庫系、影象處理庫，以及兩個控制虹膜識別儀的動態連結庫都出自美國Iris ID公司。同時，該問題在該公司的另一款JD7虹膜識別儀上同樣存在。

測試證明的問題帶來的安全威脅

虹膜影象是公民的生物特徵資訊，涉及國家安全，使用不具備自主智慧財產權的虹膜識別儀可能會造成關鍵資訊源頭上的洩露。

可能存在的威脅預警

a) 軟體後門

虹膜採集識別裝置完成正常採集操作需要在目標作業系統上安裝驅動程式，並且在日後使用過程中升級更新驅動程式。這些驅動程式驅動硬體裝置，故在系統中的執行許可權較高。若該驅動程式存在後門，在特定的時機觸發（例如特定的時間，特定的外部訊號等），可實現對目標系統和網路的全面控制和攻擊。又因為驅動程式基本為二進位制，實際操作內容並不透明。即使透過逆向分析等方法，也不能完全保證發現後門程式。除此以外，該後門程式還可以偽裝成邏輯漏洞，即使被發現也可以推諉為系統缺陷，故透過該方式發起的攻擊行為欺騙性、迷惑性都非常高，也使得防守上更為困難。

b) 硬體後門

硬體晶片由於高度整合所以無法確認晶片內的執行邏輯，虹膜裝置在晶片中藏匿各種硬體執行邏輯很難被發現。若使用特定的觸發機制，檢測發現硬體後門是非常難的。更為嚴重的是，硬體晶片幾乎可以完成所有軟體後門程式的工作，並且無法被清除。

c) 服務後門

另一安全隱患在於，某些特定的條件下，例如特定的日期，虹膜採集過程就會採集非正確的資料，從而使資料匹配失敗，不能進行正常的操作，導致整個虹膜系統癱瘓。