面部識別疑現(xiàn)新漏洞 眼鏡貼膠帶就能騙過Face ID

在拉斯維加斯舉行的美國黑帽大會上，有研究人員展示了一種繞過人臉識別的方法：使用眼鏡和膠帶可解鎖iPhone。

　　這次演示來自騰訊的研究人員，他們嘗試欺騙生物識別技術(shù)中的“活體”檢測功能，混淆過“真實(shí)”和“虛假”人體特征。

　　研究人員說，活體檢測可以檢測背景噪音和反應(yīng)失真或焦點(diǎn)模糊，從而確保人臉是真實(shí)的而不是面具。Face ID人臉識別就使用了這種活性檢測功能，蘋果還加入了有“注視感知”功能，可以確保只有人睜開眼睛盯著iPhone看它才會解鎖。

　　為了欺騙人臉識別系統(tǒng)，研究人員制作了一種特殊的眼鏡原型，鏡片上貼紙黑色膠帶，中間畫著白色的點(diǎn)，用來模仿眼球的樣子。當(dāng)他們把眼鏡戴在睡著的受害者臉上時，便可以進(jìn)入他的iPhone，還能通過移動支付應(yīng)用程序給其他人匯款。

　　這種方法之所以奏效，是因?yàn)檠芯咳藛T發(fā)現(xiàn)活體檢測與眼鏡的工作原理不同，戴眼鏡時基本上不會從眼框區(qū)域提取3D信息。

　　他們發(fā)現(xiàn)，對活體檢測的眼睛進(jìn)行抽象描繪，會呈現(xiàn)出一個黑色區(qū)域上面有一個白點(diǎn)（也就是眼球+虹膜）。如果用戶戴上眼鏡，活躍度檢測掃描眼睛的方式會發(fā)生變化。

　　“在我們的研究之后，我們發(fā)現(xiàn)FaceID的bug……它允許用戶戴眼鏡解鎖……但如果你戴著眼鏡，并且它識別出眼鏡時，不會從眼框區(qū)域提取3D信息。”

　　也就是說，此時的眼眶周圍是2D的。所以如果針對正在睡覺或失去知覺的受害者，在不吵醒他的情況下將眼鏡戴上，理論上是有可能解鎖他的iPhone的。

　　雖然大多數(shù)人不太可能遇到這種情況（給臉上拍個眼鏡還沒醒），而且這次也沒有對這種所謂的方法進(jìn)行更進(jìn)一步的研究。但這次演示說明了面部識別可能存在的風(fēng)險(xiǎn)。

　　為了封堵這個漏洞，研究人員建議生物識別模塊的制造商為面部識別裝置添加更多身份認(rèn)證，并“增加視頻和音頻合成檢測的權(quán)重”。

　　其實(shí)蘋果公司也設(shè)計(jì)了一些應(yīng)急的機(jī)制面部識別系統(tǒng)，對iPhone X及以上機(jī)型，如果連續(xù)按五次以上電源鍵，就會彈出SOS功能，并暫時關(guān)閉面部識別，必須輸入密碼才可以。