随着 AI 对智能手机的加持,人脸识别也已经成为当下智能手机的标配;与指纹识别、字符密码等传统的智能手机解锁模式相比,人脸识别功能显得更加方便。但是,从隐私保护的层面,它未必会更加安全。
尤其是在 Android 设备上。
12 月 13 日,福布斯记者 Thomas Brewster 发布了一篇文章,介绍了自己的 3D 打印头型如何成功骗过智能手机人脸识别的过程。
雷锋网了解到,Thomas Brewster 是在英国伯明翰的一家名为 Backface 的公司完成这个过程的。他现在这家公司的装配有 50 台相机的影棚里拍摄了自己的头像,并由此合成了一张完整的 3D 图像,然后将该图像导入到 3D 打印设备中,最终打印出了 3D 打印头型。
当然,这个头型并不是完美的,随后 Backface 公司又在未来几天里对该头型进行了修饰——但前后的价格仅仅为 300 多欧元。
随后,关于人脸识别安全性的测试正式开始。
Thomas Brewster 先用自己的真实人脸,在五台智能手机上进行了人脸识别注册,这五台智能手机包括 iPhone X、LG G7 ThinQ、三星 Galaxy S9、三星 Note 8 和一加 6。然后又用已经打印出来的 3D 打印头型对这五款手机的人脸识别功能进行解锁测试。
最终的结果是,所有参与测试的 Android 设备都被成功骗过(虽然有难度方面的差异),而 iPhone X 的表现无懈可击。
在 LG G7、一加 6、三星 S9 和 Note 8 上,人脸识别功能被成功骗过,这表明了它们在人脸识别方面的安全性还不够;但从技术层面来说,它们本来和 iPhone X 的 3D 人脸识别系统就不是一个层面的东西。
对于前者来说,人脸识别是辅助型的生物识别解锁工具,而对 iPhone X 而言,人脸识别是唯一的生物识别选项。
Thomas Brewster 表示,在初次使用 LG G7 进行人脸录入时,用户会得到提醒,并被告知人脸识别是不太安全的备用项。不过,LG 方面额表示,在后续的使用过程中,人脸识别会得到更新,来提升稳定性和安全性——但 PIN 码和指纹识别是首选项。
三星 S9 也有类似的提醒。然而,在用户初次设置这款手机时,就会被建议采用人脸识别和虹膜识别。当然,在 3D 打印状态下,虹膜识别显然是不能通行的,但人脸识别就成功了,虽然也需要一些不同的角度和光线。
而在三星 Note 8 中,三星提供了一个“快速识别”选项,但这个选项比正常的人脸识别更不安全。三星在回应称表示,人脸识别是一个打开手机的便捷方式,有点像“滑动解锁”,但是该公司提供了最高级别的生物验证系统——指纹或者虹膜——来解锁手机、完成 Samsung Pay 支付或者打开安全文件夹。
一加 6 没有上述关于安全性的提醒,而且在利用 3D 打印头型解锁的过程中,很快就成功了。一加对此回应称,面部解锁是基于便利性打造的,建议用户利用密码、数字、指纹来保证安全性,同时人脸解锁功能不会被应用于银行账户、支付等应用中。
iPhone X 毫无悬念通过了测试,这是它在人脸识别相关的软硬件方面的投入决定的;为了测试安全性,苹果甚至与好莱坞影棚联合打造了一个仿真面具来测试其安全性。基于这样的安全级别,苹果已经在 iPhone X 及其后续产品中放弃了指纹识别,而采用面部识别作为支付安全工具。
另外,微软的 Windows Hello 的人脸识别表现也不错,它也成功地通过了测试;尽管 Thomas Brewster 并没有表明它测试的是哪台 Windows 设备。
显然,除了苹果之外,众多 Android 厂商在人脸识别方面的安全性方面,还有着很大的提升空间——迄今为止,大多数 Android 手机厂商还不敢彻底拿掉指纹识别功能(虽然不少厂商已经把指纹识别模块放在了屏幕下方),但也有 Android 厂商(比如说绿厂的某 X)已经采用前置的 3D 深度摄像头模块并支持支付功能,只不过不在本次的测试范围中。
来自 NCC Group 的安全研究员 Matt Lewis 认为,如果用户担心自己的设备被一个“假头”破解,那么最好不要使用人脸识别,而选用 PIN 码或者密码,因为基于生物特征的解锁容易被以各种方式破解——只要破解者拥有足够多的时间、资源和特定的攻击对象。
不过,在雷锋网看来,就算 300 多欧元不是一笔巨款,破解过程中所必须的 3D 打印技术也并非是随随便便就能够用上的——换句话说,进行这样的一场人脸破解攻击毕竟是一件成本不低的事情。Thomas Brewster 的这个测试足以证明 Android 人脸识别不够安全,但并没有证明破解它们有多么容易,尤其是对普通人而言。
所以,最后的问题来了,读了这篇文章之后,你还会使用手机上的人脸识别来解锁吗?