你的手機到底能有多安全?今天市面上能買到的智慧手機大多都用上了指紋識別和人臉識別,高階一點的兩種技術都有,除了解鎖手機之外,很多人也會拿這些技術用於支付。但正如某家通訊企業高管所說的:所有手機安全措施都可以破解,問題只在於成本。
今年 11 月,來自紐約大學的研究人員提出了一種可以生成「萬能指紋」的神經網路模型 MasterPrints,攻擊手機指紋解鎖的成功率最高可達 78%。而最近,福布斯的記者們決定使用 3D 列印技術攻擊手機的人臉識別功能,在一通測試之後,他們發現石膏「人臉」竟可以破解四種流行旗艦手機的 AI 人臉識別解鎖功能,而 iPhone X 不為所動。
據介紹,測試中被「假頭」破解的手機包括 LG G7 ThinQ、三星 S9、三星 Note 8 和一加 6。
從商場到工作場所,人臉識別無處不在,好像我們的臉每天都在被掃描。但智慧手機應該保護使用者資料,使其免於洩露,而不是侵犯隱私。
如果你是一位安卓手機使用者,那麼請馬上把手機從眼前移開。為了測試破解智慧手機的難易程度,福布斯記者用 3D 列印的頭部測試了四款暢銷安卓/蘋果智慧手機。遇到假的人臉,所有的安卓手機都被開啟,但蘋果卻未被攻破。
複製你的頭
用於測試的 3D 列印頭部是由英國伯明翰的 Backface 公司製作的。這家公司利用 50 個攝像頭同時拍照就能生成一幅完整的 3D 影像,然後將生成的影像匯入電腦,用編輯軟體進行處理,任何錯誤都能得到修復。
接下來,Backface 用一臺以石膏粉為原料的 3D 印表機打出模型。然後進行面部修復和上色。利用這種方法幾天之內就能做出一個真人頭部大小的模型,總花費僅 300 英鎊。
在這之後,你就得到了一個幾乎完美的人頭複製體。
Backface 公司製作的 3D 列印頭部
實驗過程中,福布斯的記者使用了與自己頭部大小相同的模型在 5 臺手機上進行了測試,其中包括一臺 iPhone X 和四臺安卓手機:LG G7 ThinQ、三星 S9、三星 Note 8、一加 6。方法簡單直接:記者將「假頭」放到這些手機前看看它們會不會被解鎖。結果四臺安卓手機全部解鎖,只是解鎖難度有所區別。iPhone X 是唯一倖免於難的手機。
安卓手機抵抗攻擊的效能也存在差異。如,首次開啟這部全新的 G7 時,LG 曾提醒使用者不要開啟人臉識別。「人臉識別為二級解鎖方法,會降低您手機的安全性,」LG 手機播報導,提醒使用者類似的人臉也可以解鎖你的手機。難怪開始試驗的時候,3D 列印頭部輕鬆就解開了 G7。
但在拍攝期間,LG 似乎更新了人臉識別程式,大大增加了破解難度。一位 LG 發言人表示:「通過 LG 推薦的第二個識別步驟和高階識別,可以通過設定在裝置上改進人臉識別功能。LG 試圖通過不斷加強裝置穩定性和安全性來改進手機。」他們補充道,人臉識別被視為次於 PIN、指紋等其他方式的「二級解鎖功能」。
三星 S9 在使用者註冊時也有類似提醒。「您的手機可能會被與您長相類似的人或物解鎖,」該手機提醒道。「如果僅使用人臉識別,安全性會低於使用手勢密碼、PIN 及密碼。」但奇怪的是,在設定該裝置時,首先出現的解鎖選項是人臉和虹膜識別。虹膜識別不會被「假頭」模糊的眼睛欺騙,但人臉識別被欺騙了,儘管需要先調整角度和照明。
Note 8 具有「快速識別」功能,根據製造商的表述,「快速識別」的安全性比普通識別還要差。在此次實驗中,這並不重要,因為無論怎麼設定,「假頭」都可以解鎖手機,只是普通解鎖需要花更多時間調整角度和照明。S9 和 LG 的慢速解鎖功能也是如此,而且事實證明,後者更難攻破。三星發言人表示:「人臉識別是為了更方便地開啟手機,類似於『滑動解鎖』。我們提供最高階別的生物特徵識別——指紋和虹膜,利用它們解鎖手機,併為 Samsung Pay、Secure Folder 等功能提供驗證。」
一加 6 沒有安全提醒,也沒有更安全的慢速解鎖選項。除了在錄入人臉時有一些科幻風格的臉部掃描圖形,該手機在 3D 人臉面前立馬就開了鎖。一加 6 無疑是本次測試中安全性最差的手機。
一加發言人表示:「我們設計人臉解鎖是為了方便。我們一直致力於採取相應措施提高其安全性,在此期間,我們建議大家使用密碼/PIN/指紋解鎖以提高安全性。因此,人臉解鎖還沒有應用到銀行、支付等安全性要求較高的 APP 中。我們在不斷努力改進自己包括人臉解鎖在內的所有技術。」
不過,iPhone X 似乎不那麼容易被破解:蘋果公司在人臉識別方面投資很大,他們甚至和好萊塢電影工作室合作,製造模擬面具來測試 Face ID,他們的努力得到了回報,模型是無法解鎖 iPhone X 的。
作為最貴的旗艦手機系列,蘋果公司自 2017 年起在 iPhone X 中使用了「TrueDepth 攝像機系統」(隱藏於螢幕上方的「齊劉海」部分)。在識別時,手機會使用其中的感測器、攝像頭和點陣投影儀,投射出 3 萬多個點,以形成一張完整的 3D「模型」來識別使用者臉部。此外,iPhone X 還採用了定製化的 AI 晶片 Neural Engine 來處理工作負載。
對於 Face ID 的自信甚至讓蘋果拋棄了一直使用的指紋解鎖功能。蘋果稱,同為生物識別技術,TouchID 的解鎖錯誤率是五萬分之一,而 FaceID 則是一百萬分之一。
手機節節潰敗,計算機的面部識別安全性如何?福布斯也測試了最新的 Windows Hello 面部識別解鎖功能,發現假頭無法破解微軟的系統。
全球市值最高的兩家公司技術安全性最高,這看起來是個很合理的結果。
在福布斯的測試中,幾款手機人臉識別安全性,從高到低排列。
看頭不看臉
全球銷量排名第二的華為手機安全性如何?或許是因為記者們的偏好,在福布斯的測試中並沒有出現華為手機。不過更早些時候,德國媒體的同行們使用了另一種方式破解了 Mate 20 Pro 的 3D 結構光人臉識別解鎖功能:蓄鬍子。
這兩位長相相似,都留著鬍子的使用者,其中一人錄入了自己的面部資訊,隨後在手機息屏狀態下,另一人接過手機之後直接解鎖成功了。大鬍子的存在阻礙了人臉識別的掃描?
鑑於破解成功率如此之高,任何擔心自己手機會被 3D 列印「面具」破解的人都應該避免使用面部識別解鎖功能,轉而考慮使用一些更傳統的安全方法。網路安全公司 NCC 集團的研究主管 Matt Lewis 推薦內含數字和字母大小寫的高強度文字密碼。
「說到儲存祕密,我們還是要看 PIN 和密碼,」Lewis 說到。「任何生物識別技術都意味著認證資訊是可以複製的,任何有足夠資源、時間和目標的人都可能試圖使用技術來欺騙它們。」
參考原文:
https://www.forbes.com/sites/thomasbrewster/2018/12/13/we-broke-into-a-bunch-of-android-phones-with-a-3d-printed-head/#50e3150e1330
https://www.androidauthority.com/huawei-mate-20-pro-face-unlock-915881/