Face ID安全性破功!只要戴上贴着黑色胶带的眼镜 使用者昏迷也可解锁手机
▲研究人员发现,脸部辨识系统在使用者戴眼镜时基本上不会从眼框区域提取3D信息。(图/《ETtoday新闻云》资料照)
研究人员周三(7)在全球骇客的年度盛会「黑帽大会」上展示出一种绕过脸部辨识的方法,仅需一副眼镜及一段黑色胶带。
民众对脸部辨识的安全性一直存在着普遍的质疑,周三一名腾讯研究人员在黑帽大会上展示了成功破解脸部辨识的方法,该方法能使有心人士绕过各种脸部辨识系统成功解锁,其中也包括被称作目前最安全生物辨识方案的苹果Face ID。
该研究团队主要研究生物识别技术背后的一项称之为「活体检测」的功能,该功能是生物辨识识别身份的验证过程之一,用于辨别「真实」或「虚拟」的人体特征。活体检测的工作原理主要是检验背景噪音,反应失真或焦点模糊,而Face ID脸部辨识就是使用这种活体检测功能,并加入「注视感知」功能,确保其在使用者睁眼的情况下才能被解锁。
为欺骗此生物辨识,研究人员制作一副特殊的眼镜,并在镜片上头贴上黑色胶带,中间再画上白色的点模拟人类眼球的样子。当为睡着或昏迷的受害者戴上这样的眼镜,脸部辨识即可被解锁。而其中缘由在于,研究人员发现,活体检测与眼镜的工作原理不同,戴眼镜时基本上不会从眼框区域提取3D信息。
活体检测为眼睛进行抽象描绘,会呈现出一个黑色区域上面有一个白点(也就是眼球+虹膜),若用户戴上眼镜,活跃度检测扫描眼睛的方式会发生变化。研究人员说:「Face ID允许用户带着眼镜解锁,但如果你戴着眼镜,并且它识别出眼镜时,不会从眼框区域提取3D信息。这意味着,此时用户的眼框周围是2D的,因此,针对正在睡觉或失去知觉的受害者,在不吵醒他的情况下将眼镜戴上,理论上是有可能解锁他的iPhone的。」
这种攻击本身条件并不简单,其明显的缺点就在于,受害者必须是无意识的,且当有心人士替他戴上眼镜时,受害者也不会醒过来。然而,研究人员仍警告,它确实显示了活体检测和生物识别技术的安全性和设计背后的弱点。
研究人员在黑帽大会上说道,随着生物辨识数据的泄漏及AI诈欺能力的增强,活体检测已经成为生物辨识验证安全的致命弱点,「因为它是验证所捕获的生物识别是否是来自在场的授权现场人员的实际测量值。」