人臉識(shí)別被 3D 打印破解，還敢用嗎？

隨著 AI 對(duì)智能手機(jī)的加持，人臉識(shí)別也已經(jīng)成為當(dāng)下智能手機(jī)的標(biāo)配；與指紋識(shí)別、字符密碼等傳統(tǒng)的智能手機(jī)解鎖模式相比，人臉識(shí)別功能顯得更加方便。但是，從隱私保護(hù)的層面，它未必會(huì)更加安全。

尤其是在 Android 設(shè)備上。

3D 打印頭型與人臉識(shí)別的較量

12 月 13 日，福布斯記者 Thomas Brewster 發(fā)布了一篇文章，介紹了自己的 3D 打印頭型如何成功騙過智能手機(jī)人臉識(shí)別的過程。

了解到，Thomas Brewster 是在英國伯明翰的一家名為 Backface 的公司完成這個(gè)過程的。他現(xiàn)在這家公司的裝配有 50 臺(tái)相機(jī)的影棚里拍攝了自己的頭像，并由此合成了一張完整的 3D 圖像，然后將該圖像導(dǎo)入到 3D 打印設(shè)備中，最終打印出了 3D 打印頭型。

當(dāng)然，這個(gè)頭型并不是完美的，隨后 Backface 公司又在未來幾天里對(duì)該頭型進(jìn)行了修飾——但前后的價(jià)格僅僅為 300 多歐元。

隨后，關(guān)于人臉識(shí)別安全性的測(cè)試正式開始。

Thomas Brewster 先用自己的真實(shí)人臉，在五臺(tái)智能手機(jī)上進(jìn)行了人臉識(shí)別注冊(cè)，這五臺(tái)智能手機(jī)包括 iPhone X、LG G7 ThinQ、三星 Galaxy S9、三星 Note 8 和一加 6。然后又用已經(jīng)打印出來的 3D 打印頭型對(duì)這五款手機(jī)的人臉識(shí)別功能進(jìn)行解鎖測(cè)試。

最終的結(jié)果是，所有參與測(cè)試的 Android 設(shè)備都被成功騙過（雖然有難度方面的差異），而 iPhone X 的表現(xiàn)無懈可擊。

人臉識(shí)別并不是第一解鎖選項(xiàng)

在 LG G7、一加 6、三星 S9 和 Note 8 上，人臉識(shí)別功能被成功騙過，這表明了它們?cè)谌四樧R(shí)別方面的安全性還不夠；但從技術(shù)層面來說，它們本來和 iPhone X 的 3D 人臉識(shí)別系統(tǒng)就不是一個(gè)層面的東西。

對(duì)于前者來說，人臉識(shí)別是輔助型的生物識(shí)別解鎖工具，而對(duì) iPhone X 而言，人臉識(shí)別是唯一的生物識(shí)別選項(xiàng)。

Thomas Brewster 表示，在初次使用 LG G7 進(jìn)行人臉錄入時(shí)，用戶會(huì)得到提醒，并被告知人臉識(shí)別是不太安全的備用項(xiàng)。不過，LG 方面額表示，在后續(xù)的使用過程中，人臉識(shí)別會(huì)得到更新，來提升穩(wěn)定性和安全性——但 PIN 碼和指紋識(shí)別是首選項(xiàng)。

三星 S9 也有類似的提醒。然而，在用戶初次設(shè)置這款手機(jī)時(shí)，就會(huì)被建議采用人臉識(shí)別和虹膜識(shí)別。當(dāng)然，在 3D 打印狀態(tài)下，虹膜識(shí)別顯然是不能通行的，但人臉識(shí)別就成功了，雖然也需要一些不同的角度和光線。

而在三星 Note 8 中，三星提供了一個(gè)“快速識(shí)別”選項(xiàng)，但這個(gè)選項(xiàng)比正常的人臉識(shí)別更不安全。三星在回應(yīng)稱表示，人臉識(shí)別是一個(gè)打開手機(jī)的便捷方式，有點(diǎn)像“滑動(dòng)解鎖”，但是該公司提供了最高級(jí)別的生物驗(yàn)證系統(tǒng)——指紋或者虹膜——來解鎖手機(jī)、完成 Samsung Pay 支付或者打開安全文件夾。

一加 6 沒有上述關(guān)于安全性的提醒，而且在利用 3D 打印頭型解鎖的過程中，很快就成功了。一加對(duì)此回應(yīng)稱，面部解鎖是基于便利性打造的，建議用戶利用密碼、數(shù)字、指紋來保證安全性，同時(shí)人臉解鎖功能不會(huì)被應(yīng)用于銀行賬戶、支付等應(yīng)用中。

iPhone X 毫無懸念通過了測(cè)試，這是它在人臉識(shí)別相關(guān)的軟硬件方面的投入決定的；為了測(cè)試安全性，蘋果甚至與好萊塢影棚聯(lián)合打造了一個(gè)仿真面具來測(cè)試其安全性。基于這樣的安全級(jí)別，蘋果已經(jīng)在 iPhone X 及其后續(xù)產(chǎn)品中放棄了指紋識(shí)別，而采用面部識(shí)別作為支付安全工具。

另外，微軟的 Windows Hello 的人臉識(shí)別表現(xiàn)也不錯(cuò)，它也成功地通過了測(cè)試；盡管 Thomas Brewster 并沒有表明它測(cè)試的是哪臺(tái) Windows 設(shè)備。

總結(jié)

顯然，除了蘋果之外，眾多 Android 廠商在人臉識(shí)別方面的安全性方面，還有著很大的提升空間——迄今為止，大多數(shù) Android 手機(jī)廠商還不敢徹底拿掉指紋識(shí)別功能（雖然不少廠商已經(jīng)把指紋識(shí)別模塊放在了屏幕下方），但也有 Android 廠商（比如說綠廠的某 X）已經(jīng)采用前置的 3D 深度攝像頭模塊并支持支付功能，只不過不在本次的測(cè)試范圍中。

來自 NCC Group 的安全研究員 Matt Lewis 認(rèn)為，如果用戶擔(dān)心自己的設(shè)備被一個(gè)“假頭”破解，那么最好不要使用人臉識(shí)別，而選用 PIN 碼或者密碼，因?yàn)榛谏锾卣鞯慕怄i容易被以各種方式破解——只要破解者擁有足夠多的時(shí)間、資源和特定的攻擊對(duì)象。

不過，在看來，就算 300 多歐元不是一筆巨款，破解過程中所必須的 3D 打印技術(shù)也并非是隨隨便便就能夠用上的——換句話說，進(jìn)行這樣的一場(chǎng)人臉破解攻擊畢竟是一件成本不低的事情。Thomas Brewster 的這個(gè)測(cè)試足以證明 Android 人臉識(shí)別不夠安全，但并沒有證明破解它們有多么容易，尤其是對(duì)普通人而言。

所以，最后的問題來了，讀了這篇文章之后，你還會(huì)使用手機(jī)上的人臉識(shí)別來解鎖嗎？