量子位 報(bào)道 | 公眾號(hào) QbitAI

相比廣大安卓陣線的2D刷臉識(shí)別，iPhone用了更貴的傳感器，能夠?qū)崿F(xiàn)更周密強(qiáng)大的活體識(shí)別，保證用戶在閉眼情況下不會(huì)被解鎖手機(jī)。

但是，就在今年白帽黑客大會(huì)上，向來(lái)以安全著稱的iPhone刷臉，還是被一副簡(jiǎn)單的眼鏡攻破了。

而且對(duì)于那些戴眼鏡的iPhone用戶，F(xiàn)ace ID可能存在一直未被發(fā)現(xiàn)的漏洞。

此次破解榮譽(yù)，屬于騰訊安全玄武實(shí)驗(yàn)室的安全研究員馬卓。

最初，騰訊安全研究員的核心是刷臉解鎖中的“活體檢測(cè)”，即在刷臉過(guò)程中，需要用戶看一眼才能解鎖。

于是馬卓專門研究了活體檢測(cè)中的眼睛掃描原理，最后發(fā)現(xiàn)：

活體檢測(cè)對(duì)人眼的處理，最終會(huì)抽象為黑色區(qū)域（人眼）上嵌上白點(diǎn)（虹膜）。

而如果用戶戴上眼鏡，人眼的處理方式就會(huì)發(fā)生變化，F(xiàn)ace ID不再?gòu)摹叭搜邸碧崛⌒畔?，活體檢測(cè)就存在空子可鉆。

于是騰訊安全研究員，基于這種空子，打造了一款眼鏡。

但即便如此，要實(shí)現(xiàn)類似對(duì)Face ID的攻破依然不容易，因?yàn)楝F(xiàn)實(shí)“作案”條件很難。

這個(gè)Face ID的用戶得處于“無(wú)意識(shí)”狀態(tài)，還不能在戴這副特殊眼鏡的過(guò)程中吵醒他。

所以，廣大iPhone用戶實(shí)際不用擔(dān)心，畢竟能符合“作案”條件的人，一般也不用如此大費(fèi)周章搞副眼鏡才能轉(zhuǎn)走你的錢。

這也有利于業(yè)界更多關(guān)注活體識(shí)別潛在的缺陷。

馬卓也建議，生物識(shí)別公司可以為相機(jī)添加身份認(rèn)證，并增加視頻和音頻綜合檢測(cè)的權(quán)重。

最后，再小小介紹一下此次閃耀美國(guó)極客大會(huì)的騰訊安全研究員：馬卓。

他是騰訊安全玄武實(shí)驗(yàn)室的安全研究員，被稱為“亂入白帽黑客界的煉金術(shù)師”，目前主要從事嵌入式安全、固件逆向等方向的研究。

參考報(bào)道：

https://threatpost.com/researchers-bypass-apple-faceid-using-biometrics-achilles-heel/147109/

https://www.theverge.com/2019/8/9/20798569/face-id-hack-black-hat-conference-2018-glasses-tape

— 完 —