手机人脸识别被3D打印人头破解:你还敢用吗?

随着AI对智能手机的加持,人脸识别也已经成为当下智能手机的标配;与指纹识别、字符密码等传统的智能手机解锁模式相比,人脸识别功能显得更加方便。但是,从隐私保护的层面,它未必会更加安全。



打印头型与人脸识别的较量

12月13日,福布斯记者Thomas Brewster发布了一篇文章,介绍了自己的3D打印头型如何成功骗过智能手机人脸识别的过程。

Thomas Brewster是在英国伯明翰的一家名为Backface的公司完成这个过程的。他现在这家公司的装配有50台相机的影棚里拍摄了自己的头像,并由此合成了一张完整的3D图像,然后将该图像导入到3D打印设备中,最终打印出了3D打印头型。







当然,这个头型并不是完美的,随后Backface公司又在未来几天里对该头型进行了修饰,但前后的价格仅仅为300多欧元。

随后,关于人脸识别安全性的测试正式开始。

Thomas Brewster先用自己的真实人脸,在五台智能手机上进行了人脸识别注册,这五台智能手机包括iPhone X、LG G7 ThinQ、三星Galaxy S9、三星Note 8和一加6,然后又用已经打印出来的3D打印头型对这五款手机的人脸识别功能进行解锁测试。

最终的结果是,所有参与测试的Android设备都被成功骗过(虽然有难度方面的差异),而iPhone X的表现无懈可击。


人脸识别并不是第一解锁选项

在LG G7、一加6、三星S9和Note 8上,人脸识别功能被成功骗过,这表明了它们在人脸识别方面的安全性还不够,但从技术层面来说,它们本来和iPhone X的3D人脸识别系统就不是一个层面的东西。

对于安卓手机来说,人脸识别是辅助型的生物识别解锁工具,而对iPhone X而言,人脸识别是唯一的生物识别选项。

Thomas Brewster表示,在初次使用LG G7进行人脸录入时,用户会得到提醒,并被告知人脸识别是不太安全的备用项。

不过,LG方面表示,在后续的使用过程中,人脸识别会得到更新,来提升稳定性和安全性——但PIN码和指纹识别是首选项。

三星S9也有类似的提醒。然而,在用户初次设置这款手机时,就会被建议采用人脸识别和虹膜识别。当然,在3D打印状态下,虹膜识别显然是不能通行的,但人脸识别就成功了,虽然也需要一些不同的角度和光线。



而在三星Note 8中,三星提供了一个“快速识别”选项,但这个选项比正常的人脸识别更不安全。

三星在回应称表示,人脸识别是一个打开手机的便捷方式,有点像“滑动解锁”,但是该公司提供了最高级别的生物验证系统——指纹或者虹膜——来解锁手机、完成Samsung Pay支付或者打开安全文件夹。

一加6没有上述关于安全性的提醒,而且在利用3D打印头型解锁的过程中,很快就成功了。

一加对此回应称,面部解锁是基于便利性打造的,建议用户利用密码、数字、指纹来保证安全性,同时人脸解锁功能不会被应用于银行账户、支付等应用中。

iPhone X毫无悬念通过了测试,这是它在人脸识别相关的软硬件方面的投入决定的;为了测试安全性,苹果甚至与好莱坞影棚联合打造了一个仿真面具来测试其安全性。

基于这样的安全级别,苹果已经在iPhone X及其后续产品中放弃了指纹识别,而采用面部识别作为支付安全工具。






另外,微软的Windows Hello的人脸识别表现也不错,它也成功地通过了测试,不过Thomas Brewster并没有表明它测试的是哪台Windows设备。


总结

显然,除了苹果之外,众多Android厂商在人脸识别方面的安全性方面,还有着很大的提升空间——迄今为止,大多数Android手机厂商还不敢彻底拿掉指纹识别功能(虽然不少厂商已经把指纹识别模块放在了屏幕下方),但也有Android厂商(比如说绿厂的某X)已经采用前置的3D深度摄像头模块并支持支付功能,只不过不在本次的测试范围中。




来自NCC Group的安全研究员Matt Lewis认为,如果用户担心自己的设备被一个“假头”破解,那么最好不要使用人脸识别,而选用PIN码或者密码,因为基于生物特征的解锁容易被以各种方式破解——只要破解者拥有足够多的时间、资源和特定的攻击对象。

不过,就算300多欧元不是一笔巨款,破解过程中所必须的3D打印技术也并非是随随便便就能够用上的——换句话说,进行这样的一场人脸破解攻击毕竟是一件成本不低的事情。

Thomas Brewster的这个测试足以证明Android人脸识别不够安全,但并没有证明破解它们有多么容易,尤其是对普通人而言。

所以,最后的问题来了,读了这篇文章之后,你还会使用手机上的人脸识别来解锁吗?

推荐阅读