人臉識別被 3D 打印破解，還敢用嗎？

時間：2019-01-02 12:48:01

關(guān)鍵字： 3d 人臉識別打印

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀]隨著 AI 對智能手機的加持，人臉識別也已經(jīng)成為當(dāng)下智能手機的標配；與指紋識別、字符密碼等傳統(tǒng)的智能手機解鎖模式相比，人臉識別功能顯得更加方便。但是，從隱私保護的層面，它未必會更加安全。尤其是在 An

隨著 AI 對智能手機的加持，人臉識別也已經(jīng)成為當(dāng)下智能手機的標配；與指紋識別、字符密碼等傳統(tǒng)的智能手機解鎖模式相比，人臉識別功能顯得更加方便。但是，從隱私保護的層面，它未必會更加安全。

尤其是在 Android 設(shè)備上。

3D 打印頭型與人臉識別的較量

12 月 13 日，福布斯記者 Thomas Brewster 發(fā)布了一篇文章，介紹了自己的 3D 打印頭型如何成功騙過智能手機人臉識別的過程。

了解到，Thomas Brewster 是在英國伯明翰的一家名為 Backface 的公司完成這個過程的。他現(xiàn)在這家公司的裝配有 50 臺相機的影棚里拍攝了自己的頭像，并由此合成了一張完整的 3D 圖像，然后將該圖像導(dǎo)入到 3D 打印設(shè)備中，最終打印出了 3D 打印頭型。

當(dāng)然，這個頭型并不是完美的，隨后 Backface 公司又在未來幾天里對該頭型進行了修飾——但前后的價格僅僅為 300 多歐元。

隨后，關(guān)于人臉識別安全性的測試正式開始。

Thomas Brewster 先用自己的真實人臉，在五臺智能手機上進行了人臉識別注冊，這五臺智能手機包括 iPhone X、LG G7 ThinQ、三星 Galaxy S9、三星 Note 8 和一加 6。然后又用已經(jīng)打印出來的 3D 打印頭型對這五款手機的人臉識別功能進行解鎖測試。

最終的結(jié)果是，所有參與測試的 Android 設(shè)備都被成功騙過（雖然有難度方面的差異），而 iPhone X 的表現(xiàn)無懈可擊。

人臉識別并不是第一解鎖選項

在 LG G7、一加 6、三星 S9 和 Note 8 上，人臉識別功能被成功騙過，這表明了它們在人臉識別方面的安全性還不夠；但從技術(shù)層面來說，它們本來和 iPhone X 的 3D 人臉識別系統(tǒng)就不是一個層面的東西。

對于前者來說，人臉識別是輔助型的生物識別解鎖工具，而對 iPhone X 而言，人臉識別是唯一的生物識別選項。

Thomas Brewster 表示，在初次使用 LG G7 進行人臉錄入時，用戶會得到提醒，并被告知人臉識別是不太安全的備用項。不過，LG 方面額表示，在后續(xù)的使用過程中，人臉識別會得到更新，來提升穩(wěn)定性和安全性——但 PIN 碼和指紋識別是首選項。

三星 S9 也有類似的提醒。然而，在用戶初次設(shè)置這款手機時，就會被建議采用人臉識別和虹膜識別。當(dāng)然，在 3D 打印狀態(tài)下，虹膜識別顯然是不能通行的，但人臉識別就成功了，雖然也需要一些不同的角度和光線。

而在三星 Note 8 中，三星提供了一個“快速識別”選項，但這個選項比正常的人臉識別更不安全。三星在回應(yīng)稱表示，人臉識別是一個打開手機的便捷方式，有點像“滑動解鎖”，但是該公司提供了最高級別的生物驗證系統(tǒng)——指紋或者虹膜——來解鎖手機、完成 Samsung Pay 支付或者打開安全文件夾。

一加 6 沒有上述關(guān)于安全性的提醒，而且在利用 3D 打印頭型解鎖的過程中，很快就成功了。一加對此回應(yīng)稱，面部解鎖是基于便利性打造的，建議用戶利用密碼、數(shù)字、指紋來保證安全性，同時人臉解鎖功能不會被應(yīng)用于銀行賬戶、支付等應(yīng)用中。

iPhone X 毫無懸念通過了測試，這是它在人臉識別相關(guān)的軟硬件方面的投入決定的；為了測試安全性，蘋果甚至與好萊塢影棚聯(lián)合打造了一個仿真面具來測試其安全性?；谶@樣的安全級別，蘋果已經(jīng)在 iPhone X 及其后續(xù)產(chǎn)品中放棄了指紋識別，而采用面部識別作為支付安全工具。

另外，微軟的 Windows Hello 的人臉識別表現(xiàn)也不錯，它也成功地通過了測試；盡管 Thomas Brewster 并沒有表明它測試的是哪臺 Windows 設(shè)備。

總結(jié)

顯然，除了蘋果之外，眾多 Android 廠商在人臉識別方面的安全性方面，還有著很大的提升空間——迄今為止，大多數(shù) Android 手機廠商還不敢徹底拿掉指紋識別功能（雖然不少廠商已經(jīng)把指紋識別模塊放在了屏幕下方），但也有 Android 廠商（比如說綠廠的某 X）已經(jīng)采用前置的 3D 深度攝像頭模塊并支持支付功能，只不過不在本次的測試范圍中。

來自 NCC Group 的安全研究員 Matt Lewis 認為，如果用戶擔(dān)心自己的設(shè)備被一個“假頭”破解，那么最好不要使用人臉識別，而選用 PIN 碼或者密碼，因為基于生物特征的解鎖容易被以各種方式破解——只要破解者擁有足夠多的時間、資源和特定的攻擊對象。

不過，在看來，就算 300 多歐元不是一筆巨款，破解過程中所必須的 3D 打印技術(shù)也并非是隨隨便便就能夠用上的——換句話說，進行這樣的一場人臉破解攻擊畢竟是一件成本不低的事情。Thomas Brewster 的這個測試足以證明 Android 人臉識別不夠安全，但并沒有證明破解它們有多么容易，尤其是對普通人而言。

所以，最后的問題來了，讀了這篇文章之后，你還會使用手機上的人臉識別來解鎖嗎？