我們破解了幾乎所有旗艦手機的人臉識別,iPhone 倖免於難
引用你的手機到底能有多安全?今天市面上能買到的智能手機大多都用上了指紋識別和人臉識別,高端一點的兩種技術都有,除了解鎖手機之外,很多人也會拿這些技術用於支付。但正如某家通信企業高管所説的:所有手機安全措施都可以破解,問題只在於成本。
今年 11 月,來自紐約大學的研究人員提出了一種可以生成「萬能指紋」的神經網絡模型 MasterPrints,攻擊手機指紋解鎖的成功率最高可達 78%。而最近,福布斯的記者們決定使用 3D 打印技術攻擊手機的人臉識別功能,在一通測試之後,他們發現石膏「人臉」竟可以破解四種流行旗艦手機的 AI 人臉識別解鎖功能,而 iPhone X 不為所動。
據介紹,測試中被「假頭」破解的手機包括 LG G7 ThinQ、三星 S9、三星 Note 8 和一加 6。
從商場到工作場所,人臉識別無處不在,好像我們的臉每天都在被掃描。但智能手機應該保護用户數據,使其免於泄露,而不是侵犯隱私。
如果你是一位Android手機用户,那麼請馬上把手機從眼前移開。為了測試破解智能手機的難易程度,福布斯記者用 3D 打印的頭部測試了四款暢銷Android/蘋果智能手機。遇到假的人臉,所有的Android手機都被打開,但蘋果卻未被攻破。
複製你的頭
用於測試的 3D 打印頭部是由英國伯明翰的 Backface 公司製作的。這家公司利用 50 個攝像頭同時拍照就能生成一幅完整的 3D 圖像,然後將生成的圖像導入電腦,用編輯軟件進行處理,任何錯誤都能得到修復。
接下來,Backface 用一台以石膏粉為原料的 3D 打印機打出模型。然後進行面部修復和上色。利用這種方法幾天之內就能做出一個真人頭部大小的模型,總花費僅 300 英鎊。
在這之後,你就得到了一個幾乎完美的人頭複製體。
▲ Backface 公司製作的 3D 打印頭部
實驗過程中,福布斯的記者使用了與自己頭部大小相同的模型在 5 台手機上進行了測試,其中包括一台 iPhone X 和四台Android手機:LG G7 ThinQ、三星 S9、三星 Note 8、一加 6。方法簡單直接:記者將「假頭」放到這些手機前看看它們會不會被解鎖。結果四台Android手機全部解鎖,只是解鎖難度有所區別。iPhone X 是唯一倖免於難的手機。
Android手機抵抗攻擊的性能也存在差異。如,首次打開這部全新的 G7 時,LG 曾提醒用户不要打開人臉識別。「人臉識別為二級解鎖方法,會降低您手機的安全性,」LG 手機播報道,提醒用户類似的人臉也可以解鎖你的手機。難怪開始試驗的時候,3D 打印頭部輕鬆就解開了 G7。
但在拍攝期間,LG 似乎更新了人臉識別程序,大大增加了破解難度。一位 LG 發言人表示:「通過 LG 推薦的第二個識別步驟和高級識別,可以通過設置在設備上改進人臉識別功能。LG 試圖通過不斷加強設備穩定性和安全性來改進手機。」他們補充道,人臉識別被視為次於 PIN、指紋等其他方式的「二級解鎖功能」。
三星 S9 在用户註冊時也有類似提醒。「您的手機可能會被與您長相類似的人或物解鎖,」該手機提醒道。「如果僅使用人臉識別,安全性會低於使用手勢密碼、PIN 及密碼。」但奇怪的是,在設置該設備時,首先出現的解鎖選項是人臉和虹膜識別。虹膜識別不會被「假頭」模糊的眼睛欺騙,但人臉識別被欺騙了,儘管需要先調整角度和照明。
Note 8 具有「快速識別」功能,根據製造商的表述,「快速識別」的安全性比普通識別還要差。在此次實驗中,這並不重要,因為無論怎麼設置,「假頭」都可以解鎖手機,只是普通解鎖需要花更多時間調整角度和照明。S9 和 LG 的慢速解鎖功能也是如此,而且事實證明,後者更難攻破。三星發言人表示:「人臉識別是為了更方便地打開手機,類似於『滑動解鎖』。我們提供最高級別的生物特徵識別——指紋和虹膜,利用它們解鎖手機,併為 Samsung Pay、Secure Folder 等功能提供驗證。」
一加 6 沒有安全提醒,也沒有更安全的慢速解鎖選項。除了在錄入人臉時有一些科幻風格的臉部掃描圖形,該手機在 3D 人臉面前立馬就開了鎖。一加 6 無疑是本次測試中安全性最差的手機。
一加發言人表示:「我們設計人臉解鎖是為了方便。我們一直致力於採取相應措施提高其安全性,在此期間,我們建議大家使用密碼/PIN/指紋解鎖以提高安全性。因此,人臉解鎖還沒有應用到銀行、支付等安全性要求較高的 APP 中。我們在不斷努力改進自己包括人臉解鎖在內的所有技術。」
不過,iPhone X 似乎不那麼容易被破解:蘋果公司在人臉識別方面投資很大,他們甚至和好萊塢電影工作室合作,製造仿真面具來測試 Face ID,他們的努力得到了回報,模型是無法解鎖 iPhone X 的。
作為最貴的旗艦手機系列,蘋果公司自 2017 年起在 iPhone X 中使用了「TrueDepth 攝像機系統」(隱藏於屏幕上方的「齊劉海」部分)。在識別時,手機會使用其中的傳感器、攝像頭和點陣投影儀,投射出 3 萬多個點,以形成一張完整的 3D「模型」來識別用户臉部。此外,iPhone X 還採用了定製化的 AI 芯片 Neural Engine 來處理工作負載。
對於 Face ID 的自信甚至讓蘋果拋棄了一直使用的指紋解鎖功能。蘋果稱,同為生物識別技術,TouchID 的解鎖錯誤率是五萬分之一,而 FaceID 則是一百萬分之一。
手機節節潰敗,計算機的面部識別安全性如何?福布斯也測試了最新的 Windows Hello 面部識別解鎖功能,發現假頭無法破解微軟的系統。
全球市值最高的兩家公司技術安全性最高,這看起來是個很合理的結果。
▲ 在福布斯的測試中,幾款手機人臉識別安全性,從高到低排列。
看頭不看臉
全球銷量排名第二的華為手機安全性如何?或許是因為記者們的偏好,在福布斯的測試中並沒有出現華為手機。不過更早些時候,德國媒體的同行們使用了另一種方式破解了 Mate 20 Pro 的 3D 結構光人臉識別解鎖功能:蓄鬍子。
▲ 這兩位長相相似,都留着鬍子的用户,其中一人錄入了自己的面部信息,隨後在手機息屏狀態下,另一人接過手機之後直接解鎖成功了。大鬍子的存在阻礙了人臉識別的掃描?
鑑於破解成功率如此之高,任何擔心自己手機會被 3D 打印「面具」破解的人都應該避免使用面部識別解鎖功能,轉而考慮使用一些更傳統的安全方法。網絡安全公司 NCC 集團的研究主管 Matt Lewis 推薦內含數字和字母大小寫的高強度文本密碼。
「説到保存祕密,我們還是要看 PIN 和密碼,」Lewis 説到。「任何生物識別技術都意味着認證信息是可以複製的,任何有足夠資源、時間和目標的人都可能試圖使用技術來欺騙它們。」
參考原文:
We Broke Into A Bunch Of Android Phones With A 3D-Printed Head
Huawei Mate 20 Pro face unlock fooled by two blokes with beards and short hair
本文來自公眾號「機器之心」(ID:deepchanpin),愛範兒經授權發佈。
資料來源:愛範兒(ifanr)