注意:玩机向来伴随风险,请仔细阅读本文内容后再决定是否尝试文中所提到的模块。
今天早些时候,一批宣称能够为大部分没有适配国内标准的 Android 设备开启微信、支付宝指纹支付功能的 Magisk 模块,突然出现在了我们的视线当中。
这些模块要解决的究竟是什么需求?它们的实际效果到底怎么样?又适合哪些用户使用呢?
这篇文章将带你探寻这几个问题的答案。
为什么有的手机「空有」指纹识别传感器
手里的 Android 手机在硬件层面支持指纹识别,却并不意味着我们能在国内正常使用微信指纹支付或支付宝指纹支付。这个原生 Android 和第三方 ROM 爱好者大多熟知的事实,与微信、支付宝各自采用的生物识别认证标准密切相关。
什么是生物识别认证标准?简言之,为了让我们通过生物识别信息进行身份认证的流程更加安全可靠,厂商会额外接入一套在线标准来对本地生物识别的结果进行校验,校验结果则可以被用在登录、支付等常见场景当中。
问题在于,用来进行校验的标准不止一套。除了由 PayPal、联想发起,成员涵盖 Google、黑莓、Visa、万事达等国际大厂的 FIDO 联盟标准之外,国内还有由蚂蚁金服牵头发起的 IFAA 和面向微信生态的 SOTER。国产手机厂商在发布一款支持支付宝指纹支付或微信指纹支付的新手机前,往往需要配合 IFAA 和 SOTER 标准进行相关的适配工作。
而那些没有进行国内标准适配的手机(比如仅兼容 FIDO 标准的 Pixel),自然也就用不了国内的指纹支付服务了。
在此之前 Xposed 社区其实有可以「解决」(这里的引号我们后面解释)这个问题的 模块,考虑到 Xposed 的不稳定性和上手门槛,我们并没有对它们做过多的报道。
Magisk 指纹支付模块有什么不一样
但就在今天早些时候,Xposed 版本指纹支付模块的开发者推出了 Magisk 版本,至此,在没有适配国内生物识别认证标准的手机上「使用」微信和支付宝指纹支付功能终于变成了一件不那么困难的事情。
Magisk 版指纹支付模块的安装方法和其他 Magisk 模块的安装方法完全一致:保证设备已经安装了 riru core 核心模块 的前提下,前往作者的 Github 页面下载对应模块并通过 Magisk Manager 或 TWRP(推荐前者)直接刷入安装即可。
不过既然我们在上面提到了决定指纹支付服务可用性的国内的两大生物识别认证标准,那么用来解决对应问题的模块,理论上来说也不应该像上面这样按具体应用来进行适配。这其实也正是我在这篇文章想要说明的关键问题所在——这些 Magisk 模块只能部分解决部分 Android 手机用不了指纹支付服务的问题。
以支付宝指纹支付为例,在原本不支持该功能的 Pixel 3 XL 上刷入上面的支付宝指纹支付模块后,支付宝设置中果然出现了一个名为 指纹设置 的选项。但问题在于点击这个选项弹出的并非正常的支付宝指纹授权环节,相反,开发者在这里提供了一个自定义界面,如果我们想要使用指纹完成付款,需要事先在这个界面中设置好我们在通常状态下用来完成支付的支付密码。
因此用更加直白的方式来说,上述所有 Magisk 指纹支付模块都只是用指纹识别的方式简化了密码输入的繁琐流程,即便它们所终实现的指纹支付效果在界面和交互上均与适配了国内生物识别认证标准的手机相同,但支付认证本质上还是由支付密码来完成的。
在这里,我们更像是用指纹识别完成了一次支付密码的自动填写。
这些模块适合你吗
由此便牵扯出两个至关重要的问题:
首先,上述模块究竟安全吗?
我们联系到了模块的开发者 Jason,他表示所有模块的源码已在 Github 开源,担心安全性的用户可自行审查代码;此外正如我们在上面提到的那样,Jason 自己也是此前 Xposed 版本对应模块和 SandHook 的开发者,这些模块在玩机圈内早有名气也均已开源。
同时,在使用模块开启指纹支付的页面中开发者也指出,支付密码将被加密保存,因此理论上来说这些模块不会出现近期著名 Xposed 模块「应用控制器」被爆存在 恶意行为 这样的事件。
其次,这个模块究竟适合哪些人?
正如上面所说,这些 Magisk 模块本质上是借助指纹识别结果来对支付密码进行「自动填充」,安全性上显然是没有达到适配国内生物识别认证标准的级别;但另一方面,它们又的确能够借助 Magisk 这个「神器」为更多 Android 设备带来更加便利的支付体验。
参考文献:
> 下载少数派 客户端、关注 少数派公众号,发现更多实用的 Android 应用 😃
> 特惠、好用的硬件产品,尽在 少数派 sspai 官方店铺 🛒