Face ID爆出新安全漏洞

 今年在拉斯維加斯舉行的美國黑帽大會上，有研究人員展示了一種可以繞過Face ID人臉識別的方法，這次的安全bug也體現(xiàn)了Face ID在技術上的缺陷。在演示中，研究人員給測試者戴上一款鏡片被涂黑，中間畫著白圓點(用來模仿眼球)的假眼鏡，以此營造出一個測試者睡覺時被戴上眼鏡的場景，隨后使用測試者的手機，進行面部識別便可以進入他的iPhone，還能通過移動支付應用程序給其他人匯款。

Face ID的技術資料顯示，該技術具有活體檢測功能，從而確保人臉是真實的而不是面具。Face ID人臉識別除了使用這種活性檢測功能，蘋果公司還加入了“注視感知”功能，可以確保只有人睜開眼睛盯著iPhone看它才會解鎖，這個設計就是為了防止用戶在睡覺時被他人盜刷手機。

“我們的研究發(fā)現(xiàn)Face ID的bug在于，它允許用戶戴眼鏡解鎖，當用戶戴著眼鏡進行面部識別時，F(xiàn)ace ID識別出用戶戴眼鏡后，就不會從眼框區(qū)域提取3D信息。”研究人員就是利用這點設計了這款假眼鏡來騙過“注視感知”功能。研究人員認為，如果針對正在睡覺或失去知覺的受害者，在不吵醒他的情況下將眼鏡戴上，理論上是有可能解鎖他的iPhone的。

使用一款稍作加工的假眼鏡就可以解鎖iPhone。此外，該安全專家還指出，在沒有Face ID的手機上，如低版本iPhone和Android手機上，支付寶上會有“支付寶刷臉付”，這一套業(yè)務邏輯是支付寶自己做的，需要將用戶臉部特征信息上傳服務器端進行校驗，并下發(fā)校驗結(jié)果，這個業(yè)務規(guī)則在支付寶生物識別通用規(guī)則中也有體現(xiàn)，這個校驗基于支付寶服務器端的校驗邏輯，需要用戶將面容信息上傳。

一位安全方面的資深專家向財經(jīng)網(wǎng)表示，從目前的面部識別技術來看，iPhone采用的Face ID還屬于較為安全的一種，iPhone設備上生物特征支付：Face ID，它是基于iPhone手機本地的安全校驗，F(xiàn)ace ID、指紋是存儲本地安全芯片中，能夠保證不被第三方應用讀取，它負責生物特征校驗，不會向第三方廠商上傳數(shù)據(jù)。安全專家提醒用戶，雖然支付寶刷臉付、到店付等功能比較方便，但畢竟需要將面容信息上傳服務器端，用戶個人生物特征就會被第三方平臺收集，這也造成個人信息泄露的可能。