Face ID安全性破功!只要戴上貼着黑色膠帶的眼鏡 使用者昏迷也可解鎖手機
▲研究人員發現,臉部辨識系統在使用者戴眼鏡時基本上不會從眼框區域提取3D信息。(圖/《ETtoday新聞雲》資料照)
研究人員週三(7)在全球駭客的年度盛會「黑帽大會」上展示出一種繞過臉部辨識的方法,僅需一副眼鏡及一段黑色膠帶。
民衆對臉部辨識的安全性一直存在着普遍的質疑,週三一名騰訊研究人員在黑帽大會上展示了成功破解臉部辨識的方法,該方法能使有心人士繞過各種臉部辨識系統成功解鎖,其中也包括被稱作目前最安全生物辨識方案的蘋果Face ID。
該研究團隊主要研究生物識別技術背後的一項稱之爲「活體檢測」的功能,該功能是生物辨識識別身份的驗證過程之一,用於辨別「真實」或「虛擬」的人體特徵。活體檢測的工作原理主要是檢驗背景噪音,反應失真或焦點模糊,而Face ID臉部辨識就是使用這種活體檢測功能,並加入「注視感知」功能,確保其在使用者睜眼的情況下才能被解鎖。
爲欺騙此生物辨識,研究人員製作一副特殊的眼鏡,並在鏡片上頭貼上黑色膠帶,中間再畫上白色的點模擬人類眼球的樣子。當爲睡着或昏迷的受害者戴上這樣的眼鏡,臉部辨識即可被解鎖。而其中緣由在於,研究人員發現,活體檢測與眼鏡的工作原理不同,戴眼鏡時基本上不會從眼框區域提取3D信息。
活體檢測爲眼睛進行抽象描繪,會呈現出一個黑色區域上面有一個白點(也就是眼球+虹膜),若用戶戴上眼鏡,活躍度檢測掃描眼睛的方式會發生變化。研究人員說:「Face ID允許用戶帶着眼鏡解鎖,但如果你戴着眼鏡,並且它識別出眼鏡時,不會從眼框區域提取3D信息。這意味着,此時用戶的眼框周圍是2D的,因此,針對正在睡覺或失去知覺的受害者,在不吵醒他的情況下將眼鏡戴上,理論上是有可能解鎖他的iPhone的。」
這種攻擊本身條件並不簡單,其明顯的缺點就在於,受害者必須是無意識的,且當有心人士替他戴上眼鏡時,受害者也不會醒過來。然而,研究人員仍警告,它確實顯示了活體檢測和生物識別技術的安全性和設計背後的弱點。
研究人員在黑帽大會上說道,隨着生物辨識數據的泄漏及AI詐欺能力的增強,活體檢測已經成爲生物辨識驗證安全的致命弱點,「因爲它是驗證所捕獲的生物識別是否是來自在場的授權現場人員的實際測量值。」