转自公众号AI科技评论
随着AI 对智能手机的加持,人脸识别也已经成为当下智能手机的标配;与指纹识别、字符密码等传统的智能手机解锁模式相比,人脸识别功能显得更加方便。但是,从隐私保护的层面,它未必会更加安全。
尤其是在Android 设备上。
3D 打印头型与人脸识别的较量
12 月13 日,福布斯记者Thomas Brewster 发布了一篇文章,介绍了自己的3D 打印头型如何成功骗过智能手机人脸识别的过程。
雷锋网了解到,Thomas Brewster 是在英国伯明翰的一家名为Backface 的公司完成这个过程的。他先在这家公司的装配有50 台相机的影棚里拍摄了自己的头像,并由此合成了一张完整的3D 图像,然后将该图像导入到3D 打印设备中,最终打印出了3D 打印头型。
当然,这个头型并不是完美的,随后Backface 公司又在未来几天里对该头型进行了修饰——但前后的价格仅仅为300 多欧元。
随后,关于人脸识别安全性的测试正式开始。
Thomas Brewster 先用自己的真实人脸,在五台智能手机上进行了人脸识别注册,这五台智能手机包括iPhone X、LG G7 ThinQ、三星Galaxy S9、三星Note 8 和一加6。然后又用已经打印出来的3D 打印头型对这五款手机的人脸识别功能进行解锁测试。
最终的结果是,所有参与测试的Android 设备都被成功骗过(虽然有难度方面的差异),而iPhone X 的表现无懈可击。
人脸识别并不是第一解锁选项
在LG G7、一加6、三星S9 和Note 8 上,人脸识别功能被成功骗过,这表明了它们在人脸识别方面的安全性还不够;但从技术层面来说,它们本来和iPhone X 的3D 人脸识别系统就不是一个层面的东西。
对于前者来说,人脸识别是辅助型的生物识别解锁工具,而对iPhone X 而言,人脸识别是唯一的生物识别选项。Thomas Brewster 表示,在初次使用LG G7 进行人脸录入时,用户会得到提醒,并被告知人脸识别是不太安全的备用项。不过,LG 方面额表示,在后续的使用过程中,人脸识别会得到更新,来提升稳定性和安全性——但PIN 码和指纹识别是首选项。
三星S9 也有类似的提醒。然而,在用户初次设置这款手机时,就会被建议采用人脸识别和虹膜识别。当然,在3D 打印状态下,虹膜识别显然是不能通行的,但人脸识别就成功了,虽然也需要一些不同的角度和光线。
而在三星Note 8 中,三星提供了一个“快速识别”选项,但这个选项比正常的人脸识别更不安全。三星在回应称表示,人脸识别是一个打开手机的便捷方式,有点像“滑动解锁”,但是该公司提供了最高级别的生物验证系统——指纹或者虹膜——来解锁手机、完成Samsung Pay 支付或者打开安全文件夹。
一加6 没有上述关于安全性的提醒,而且在利用3D 打印头型解锁的过程中,很快就成功了。一加对此回应称,面部解锁是基于便利性打造的,建议用户利用密码、数字、指纹来保证安全性,同时人脸解锁功能不会被应用于银行账户、支付等应用中。
iPhone X 毫无悬念通过了测试,这是它在人脸识别相关的软硬件方面的投入决定的;为了测试安全性,苹果甚至与好莱坞影棚联合打造了一个仿真面具来测试其安全性。基于这样的安全级别,苹果已经在iPhone X 及其后续产品中放弃了指纹识别,而采用面部识别作为支付安全工具。
另外,微软的Windows Hello 的人脸识别表现也不错,它也成功地通过了测试;尽管Thomas Brewster 并没有表明他测试的是哪台Windows 设备。
雷锋网总结
显然,除了苹果之外,众多Android 厂商在人脸识别方面的安全性方面,还有着很大的提升空间——迄今为止,大多数Android 手机厂商还不敢彻底拿掉指纹识别功能(虽然不少厂商已经把指纹识别模块放在了屏幕下方),但也有Android 厂商(比如说绿厂的某X)已经采用前置的3D 深度摄像头模块并支持支付功能,只不过不在本次的测试范围中。
来自NCC Group 的安全研究员Matt Lewis 认为,如果用户担心自己的设备被一个“假头”破解,那么最好不要使用人脸识别,而选用PIN 码或者密码,因为基于生物特征的解锁容易被以各种方式复制——只要破解者拥有足够多的时间、资源和特定的攻击对象。
不过,在雷锋网看来,就算300 多欧元不是一笔巨款,破解过程中所必须的3D 打印技术也并非是随随便便就能够用上的——换句话说,进行这样的一场人脸破解攻击毕竟是一件成本不低的事情。Thomas Brewster 的这个测试足以证明Android 人脸识别不够安全,但并没有证明破解它们有多么容易,尤其是对普通人而言。
所以,最后的问题来了,读了这篇文章之后,你还会使用手机上的人脸识别来解锁吗?