手機的臉部辨識有多不安全?外媒用3D列印的臉部模型,成功騙過這 4款 Android 手機
臉部辨識技術已經無處不在,但它真的安全嗎?研究人員最近拿了4款熱門的Android手機,加上iPhone,一共5台手機用3D列印出來的「自己」來測試,看看能否欺騙它們。結果發現,測試的4款Android手機都被假人頭騙過,iPhone倒是沒有上當。
湯瑪士‧布魯斯特(Thomas Brewster)是富比士網站的編輯,他來到英國伯明翰Backface的一個工作室,裡面裝有50個攝影鏡頭。攝影鏡頭環繞著他拍攝圖像,合成之後變成完整的「布魯斯特3D」影像。然後布魯斯特將圖片輸入編輯軟體,修正錯誤。
接下來Backface用3D印表機建模,用一種英國石膏粉列印各層,然後潤色並添加顏色,花了幾天時間製作出逼真的人頭,花費超過300英磅(約1萬2台幣)。
布魯斯特用5台手機的臉部辨識系統識別人頭。一款是iPhone X,還有就是LG G7 ThinQ、三星S9、三星Note 8、一加6。布魯斯特將人頭拿到手機前,看它能否解鎖。假人頭成功欺騙4台Android手機並解鎖手機,只是難易程度各有不同。只有iPhone X沒有上當受騙。
Android裝置真的能防止駭客入侵嗎?各大廠商的警告訊息並不一樣。例如,當我們打開全新的G7手機時,LG提醒說:「臉部辨識是第二解鎖方式,它會對於手機的安全性並不是百分百安全。」LG還警告說用臉部相似圖像可以解鎖手機。事實的確如此,在最初的測試中,3D列印頭像輕鬆就能解鎖手機。
不過在錄製的過程中,LG臉部辨識系統似乎升了級,想欺騙它變得更困難了。LG新聞發言人證實,公司會持續對系統進行優化升級。
三星S9也有類似的警告。在Note 8手機上,可以啟用速度更快的臉部辨識功能,不過三星承認,速度越快越不安全。
一加6手機沒有警告用戶,也沒有提供速度較慢、相對較安全的選擇。雖然在錄入臉部資訊時,一加6出現科幻式臉部掃瞄圖,看起來很酷,但是將假人頭放在前面時,它瞬間就解鎖了。總之,在幾款手機中,一加6是最不安全的。
而iPhone的安全性之前就被證實過,蘋果自己就與好來塢工作室合作,製作逼真的面具測試Face ID,事實證明蘋果的投入沒有白費。用模型欺騙iPhone基本上不可能成功。其實微軟也做得不錯,它的Windows Hello臉部辨識系統也可以辨識假人頭。
人臉辨識真的安全嗎!? 3D列印頭像成功騙過Samsung S9,但iPhone X擋住了
就在手機的人臉辨識功能愈來愈普及之際,美國福布斯(Forbes)雜誌的資安記者Thomas Brewster與專門打造3D掃描及列印的英國業者Backface合作,以他自己的3D列印頭像來測試多款Andorid手機與iPhone X的人臉辨識機制,結果只有iPhone X成功挺住了,LG G7 ThinQ、Samsung S9、Samsung Note 8及OnePlus 6等Android手機通通被3D列印頭像騙過而解鎖。
Brewster表示,其實不管是LG或是三星都曾警告人臉辨識只是一個相對方便且快速的安全機制,但它的安全性比不上密碼、PIN碼或圖形解鎖,最好只將它作為第二個辨識機制。
三星則直接坦承,一個跟你長得相像的人可能可以透過人臉辨識解鎖你的裝置,若要限制Samsung Pay或Secure Folder等服務的存取,最好使用更安全的指紋或虹膜辨識。
而OnePlus 6則未提供任何警告,且在測試中也是最快接受假頭像的裝置。
蘋果在去年隨著iPhone X的問世發表Face ID人臉辨識功能時,即說它可用來安全地解鎖iPhone,以啟用Apple Pay或其它安全程式,而且只有在使用者看著手機時才能解鎖,並可避免被照片或面具欺騙。
不過Face ID可能也沒有Brewster或蘋果所以為的那麼安全,去年底越南資安業者Bkav就以150美元的材料費打造了一個仿真的面具,成功騙過了Face ID,沒多久又有一名母親發現她的10歲兒子通過了她iPhone X上的Face ID認證。
蘋果則說,Face ID的安全性優於Touch ID,一般而言,以他人的指紋可成功解鎖Touch ID的機率是5萬分之一,但以他人的臉孔成功解鎖Touch ID的機率則僅有100萬分之一,如果是雙胞胎、長相相似的兄弟姐妹,或者是13歲以下的兒童則會有更高的機率,建議有疑慮的使用者改採密碼來進行認證。
其實Brewster還順便以3D列印頭像測試了微軟Windows Hello的生物辨識功能,亦未被Windows Hello接受。不過去年底還是有人只用大頭照就騙過了Windows Hello。
相較於指紋或人臉辨識,6位數密碼可能還是最安全的認證機制,猜對4位數密碼的機率為1萬分之一,但猜對6位數密碼的機率為100萬分之一,而且猜錯3次就會被鎖住。
