Face ID爆出新安全漏洞

 今年在拉斯維加斯舉行的美國黑帽大會(huì)上，有研究人員展示了一種可以繞過Face ID人臉識別的方法，這次的安全bug也體現(xiàn)了Face ID在技術(shù)上的缺陷。在演示中，研究人員給測試者戴上一款鏡片被涂黑，中間畫著白圓點(diǎn)(用來模仿眼球)的假眼鏡，以此營造出一個(gè)測試者睡覺時(shí)被戴上眼鏡的場景，隨后使用測試者的手機(jī)，進(jìn)行面部識別便可以進(jìn)入他的iPhone，還能通過移動(dòng)支付應(yīng)用程序給其他人匯款。

Face ID的技術(shù)資料顯示，該技術(shù)具有活體檢測功能，從而確保人臉是真實(shí)的而不是面具。Face ID人臉識別除了使用這種活性檢測功能，蘋果公司還加入了“注視感知”功能，可以確保只有人睜開眼睛盯著iPhone看它才會(huì)解鎖，這個(gè)設(shè)計(jì)就是為了防止用戶在睡覺時(shí)被他人盜刷手機(jī)。

“我們的研究發(fā)現(xiàn)Face ID的bug在于，它允許用戶戴眼鏡解鎖，當(dāng)用戶戴著眼鏡進(jìn)行面部識別時(shí)，F(xiàn)ace ID識別出用戶戴眼鏡后，就不會(huì)從眼框區(qū)域提取3D信息。”研究人員就是利用這點(diǎn)設(shè)計(jì)了這款假眼鏡來騙過“注視感知”功能。研究人員認(rèn)為，如果針對正在睡覺或失去知覺的受害者，在不吵醒他的情況下將眼鏡戴上，理論上是有可能解鎖他的iPhone的。

使用一款稍作加工的假眼鏡就可以解鎖iPhone。此外，該安全專家還指出，在沒有Face ID的手機(jī)上，如低版本iPhone和Android手機(jī)上，支付寶上會(huì)有“支付寶刷臉付”，這一套業(yè)務(wù)邏輯是支付寶自己做的，需要將用戶臉部特征信息上傳服務(wù)器端進(jìn)行校驗(yàn)，并下發(fā)校驗(yàn)結(jié)果，這個(gè)業(yè)務(wù)規(guī)則在支付寶生物識別通用規(guī)則中也有體現(xiàn)，這個(gè)校驗(yàn)基于支付寶服務(wù)器端的校驗(yàn)邏輯，需要用戶將面容信息上傳。

一位安全方面的資深專家向財(cái)經(jīng)網(wǎng)表示，從目前的面部識別技術(shù)來看，iPhone采用的Face ID還屬于較為安全的一種，iPhone設(shè)備上生物特征支付：Face ID，它是基于iPhone手機(jī)本地的安全校驗(yàn)，F(xiàn)ace ID、指紋是存儲本地安全芯片中，能夠保證不被第三方應(yīng)用讀取，它負(fù)責(zé)生物特征校驗(yàn)，不會(huì)向第三方廠商上傳數(shù)據(jù)。安全專家提醒用戶，雖然支付寶刷臉付、到店付等功能比較方便，但畢竟需要將面容信息上傳服務(wù)器端，用戶個(gè)人生物特征就會(huì)被第三方平臺收集，這也造成個(gè)人信息泄露的可能。