手機臉部辨識被 3D 列印頭像破解了,你還敢用嗎?

作者 | 發布日期 2018 年 12 月 18 日

首圖來源:shutterstock

隨著 AI 加持智慧手機,臉部辨識也已成為智慧手機的標配;與指紋辨識、符號密碼等傳統的智慧手機解鎖模式相比,臉部辨識功能顯得更方便。但從隱私保護層面看來,未必更安全,尤其是 Android 設備。

3D 列印頭型與人臉辨識的較量

12 月 13 日,富比士記者 Thomas Brewster 發表一篇文章,介紹自己的 3D 列印頭型如何成功騙過智慧手機臉部辨識的過程。

據了解,Thomas Brewster 是在英國伯明罕一家名為 Backface 的公司完成整個測試。他先在這家公司有 50 台相機的攝影棚裡拍攝自己的頭像,並合成一張完整的 3D 圖像,然後將圖像導入 3D 列印設備,最終列印出 3D 頭型。

當然,這個頭型並不完美,隨後 Backface 公司又花了幾天修飾頭型──但前後價格僅 300 多歐元。

隨後,關於臉部辨識安全性的測試正式開始。

Thomas Brewster 先用自己的臉,在 5 支智慧手機登錄臉部資訊,這 5 支智慧手機為 iPhone X、LG G7 ThinQ、三星 Galaxy S9、三星 Note 8 和一加 6。然後用列印的 3D 頭型測試這 5 款手機的臉部解鎖功能。

(Source:影片截圖)

最終的結果是,所有參與測試的 Android 裝置都被成功騙過(雖然有難度的差異),而 iPhone X 的表現無懈可擊。

臉部辨識並不是第一解鎖選項

LG G7、一加 6、三星 S9 和 Note 8 的臉部辨識功能被成功騙過,表明在臉部辨識的安全性還不夠;但從技術層面來說,本來和 iPhone X 的 3D 臉部辨識系統就不是同層級。

對前者來說,臉部辨識是輔助型的生物辨識解鎖工具,而對 iPhone X 而言,臉部辨識是唯一的生物辨識選項。

Thomas Brewster 表示,初次使用 LG G7 登錄臉部時,用戶會收到提醒,告知臉部辨識是不太安全的備用項。不過,LG 方面表示,後續使用過程,臉部辨識會漸漸更新,提升穩定性和安全性──但 PIN 碼和指紋辨識是首選。

三星 S9 也有類似提醒。然而用戶初次設定手機時,就會被建議採用臉部辨識和虹膜辨識。當然,在 3D 列印狀態下,虹膜辨識顯然不可行,但臉部辨識就成功了,雖然也需要一些不同角度和光線。

而三星 Note 8,三星提供「快速辨識」選項,比正常臉部辨識更不安全。三星回應,臉部辨識是打開手機的便捷方式,有點像「滑動解鎖」,但三星也提供最高等級的生物驗證系統──指紋或虹膜──來解鎖手機、完成 Samsung Pay 支付或打開安全文件夾。

一加 6 沒有上述關於安全性提醒,且用 3D 頭型解鎖時很快就成功了。一加對此回應,臉部解鎖是基於便利性打造,建議用戶利用密碼、數字、指紋來保證安全性,同時臉部解鎖功能不會應用於銀行帳戶、支付等應用。

iPhone X 毫無懸念通過了測試,這是它積極投入臉部辨識軟硬體而決定的;為了測試安全性,蘋果甚至與好萊塢攝影棚聯合打造仿真面具來測試安全性。基於這種安全等級,蘋果已在 iPhone X 及後續產品放棄了指紋辨識,採用臉部辨識為支付安全工具。

另外,微軟 Windows Hello 的臉部辨識表現也不錯,成功通過測試;儘管 Thomas Brewster 並沒有說明他測試的是哪支 Windows 設備。

總結

顯然,除了蘋果,眾多 Android 廠商在臉部辨識的安全性,還有很大的提升空間──迄今為止,大多數 Android 手機廠商還不敢徹底拿掉指紋辨識功能(雖然不少廠商已把指紋辨識模組放在螢幕下方),但也有 Android 廠商已採用前置 3D 深度鏡頭模組並支援支付功能,只不過不在本次測試範圍。

(Source:Flickr/Kārlis Dambrāns CC BY 2.0)

NCC Group 安全研究員 Matt Lewis 認為,如果用戶擔心裝置被一顆「假頭」破解,那麼最好不要使用臉部辨識,選用 PIN 碼或密碼,因為基於生物特徵的解鎖容易以各種方式破解──只要破解者擁有夠多時間、資源和特定的攻擊對象。

不過,就算 300 多歐元不是巨款,破解過程必須的 3D 列印技術也並非隨便就能用到──換句話說,進行這種臉部破解攻擊畢竟成本不低。Thomas Brewster 的測試足以證明 Android 臉部辨識不夠安全,但並沒有證明破解有多容易,尤其對普通人而言。

最後的問題來了,讀完這篇文章之後,你還會使用手機的臉部辨識來解鎖嗎?

文章來源:https://technews.tw/2018/12/18/face-recognition-crack/