我們破解了幾乎所有旗艦手機的人臉識別，iPhone 倖免於難

引用你的手機到底能有多安全？今天市面上能買到的智能手機大多都用上了指紋識別和人臉識別，高端一點的兩種技術都有，除了解鎖手機之外，很多人也會拿這些技術用於支付。但正如某家通信企業高管所説的：所有手機安全措施都可以破解，問題只在於成本。

今年 11 月，來自紐約大學的研究人員提出了一種可以生成「萬能指紋」的神經網絡模型 MasterPrints，攻擊手機指紋解鎖的成功率最高可達 78%。而最近，福布斯的記者們決定使用 3D 打印技術攻擊手機的人臉識別功能，在一通測試之後，他們發現石膏「人臉」竟可以破解四種流行旗艦手機的 AI 人臉識別解鎖功能，而 iPhone X 不為所動。
據介紹，測試中被「假頭」破解的手機包括 LG G7 ThinQ、三星 S9、三星 Note 8 和一加 6。

從商場到工作場所，人臉識別無處不在，好像我們的臉每天都在被掃描。但智能手機應該保護用户數據，使其免於泄露，而不是侵犯隱私。

如果你是一位Android手機用户，那麼請馬上把手機從眼前移開。為了測試破解智能手機的難易程度，福布斯記者用 3D 打印的頭部測試了四款暢銷Android/蘋果智能手機。遇到假的人臉，所有的Android手機都被打開，但蘋果卻未被攻破。

複製你的頭
用於測試的 3D 打印頭部是由英國伯明翰的 Backface 公司製作的。這家公司利用 50 個攝像頭同時拍照就能生成一幅完整的 3D 圖像，然後將生成的圖像導入電腦，用編輯軟件進行處理，任何錯誤都能得到修復。

接下來，Backface 用一台以石膏粉為原料的 3D 打印機打出模型。然後進行面部修復和上色。利用這種方法幾天之內就能做出一個真人頭部大小的模型，總花費僅 300 英鎊。

在這之後，你就得到了一個幾乎完美的人頭複製體。


▲ Backface 公司製作的 3D 打印頭部

實驗過程中，福布斯的記者使用了與自己頭部大小相同的模型在 5 台手機上進行了測試，其中包括一台 iPhone X 和四台Android手機：LG G7 ThinQ、三星 S9、三星 Note 8、一加 6。方法簡單直接：記者將「假頭」放到這些手機前看看它們會不會被解鎖。結果四台Android手機全部解鎖，只是解鎖難度有所區別。iPhone X 是唯一倖免於難的手機。

Android手機抵抗攻擊的性能也存在差異。如，首次打開這部全新的 G7 時，LG 曾提醒用户不要打開人臉識別。「人臉識別為二級解鎖方法，會降低您手機的安全性，」LG 手機播報道，提醒用户類似的人臉也可以解鎖你的手機。難怪開始試驗的時候，3D 打印頭部輕鬆就解開了 G7。

但在拍攝期間，LG 似乎更新了人臉識別程序，大大增加了破解難度。一位 LG 發言人表示：「通過 LG 推薦的第二個識別步驟和高級識別，可以通過設置在設備上改進人臉識別功能。LG 試圖通過不斷加強設備穩定性和安全性來改進手機。」他們補充道，人臉識別被視為次於 PIN、指紋等其他方式的「二級解鎖功能」。
三星 S9 在用户註冊時也有類似提醒。「您的手機可能會被與您長相類似的人或物解鎖，」該手機提醒道。「如果僅使用人臉識別，安全性會低於使用手勢密碼、PIN 及密碼。」但奇怪的是，在設置該設備時，首先出現的解鎖選項是人臉和虹膜識別。虹膜識別不會被「假頭」模糊的眼睛欺騙，但人臉識別被欺騙了，儘管需要先調整角度和照明。

Note 8 具有「快速識別」功能，根據製造商的表述，「快速識別」的安全性比普通識別還要差。在此次實驗中，這並不重要，因為無論怎麼設置，「假頭」都可以解鎖手機，只是普通解鎖需要花更多時間調整角度和照明。S9 和 LG 的慢速解鎖功能也是如此，而且事實證明，後者更難攻破。三星發言人表示：「人臉識別是為了更方便地打開手機，類似於『滑動解鎖』。我們提供最高級別的生物特徵識別——指紋和虹膜，利用它們解鎖手機，併為 Samsung Pay、Secure Folder 等功能提供驗證。」
一加 6 沒有安全提醒，也沒有更安全的慢速解鎖選項。除了在錄入人臉時有一些科幻風格的臉部掃描圖形，該手機在 3D 人臉面前立馬就開了鎖。一加 6 無疑是本次測試中安全性最差的手機。

一加發言人表示：「我們設計人臉解鎖是為了方便。我們一直致力於採取相應措施提高其安全性，在此期間，我們建議大家使用密碼/PIN/指紋解鎖以提高安全性。因此，人臉解鎖還沒有應用到銀行、支付等安全性要求較高的 APP 中。我們在不斷努力改進自己包括人臉解鎖在內的所有技術。」

不過，iPhone X 似乎不那麼容易被破解：蘋果公司在人臉識別方面投資很大，他們甚至和好萊塢電影工作室合作，製造仿真面具來測試 Face ID，他們的努力得到了回報，模型是無法解鎖 iPhone X 的。
作為最貴的旗艦手機系列，蘋果公司自 2017 年起在 iPhone X 中使用了「TrueDepth 攝像機系統」（隱藏於屏幕上方的「齊劉海」部分）。在識別時，手機會使用其中的傳感器、攝像頭和點陣投影儀，投射出 3 萬多個點，以形成一張完整的 3D「模型」來識別用户臉部。此外，iPhone X 還採用了定製化的 AI 芯片 Neural Engine 來處理工作負載。

對於 Face ID 的自信甚至讓蘋果拋棄了一直使用的指紋解鎖功能。蘋果稱，同為生物識別技術，TouchID 的解鎖錯誤率是五萬分之一，而 FaceID 則是一百萬分之一。

手機節節潰敗，計算機的面部識別安全性如何？福布斯也測試了最新的 Windows Hello 面部識別解鎖功能，發現假頭無法破解微軟的系統。

全球市值最高的兩家公司技術安全性最高，這看起來是個很合理的結果。

▲ 在福布斯的測試中，幾款手機人臉識別安全性，從高到低排列。

看頭不看臉

全球銷量排名第二的華為手機安全性如何？或許是因為記者們的偏好，在福布斯的測試中並沒有出現華為手機。不過更早些時候，德國媒體的同行們使用了另一種方式破解了 Mate 20 Pro 的 3D 結構光人臉識別解鎖功能：蓄鬍子。

▲ 這兩位長相相似，都留着鬍子的用户，其中一人錄入了自己的面部信息，隨後在手機息屏狀態下，另一人接過手機之後直接解鎖成功了。大鬍子的存在阻礙了人臉識別的掃描？

鑑於破解成功率如此之高，任何擔心自己手機會被 3D 打印「面具」破解的人都應該避免使用面部識別解鎖功能，轉而考慮使用一些更傳統的安全方法。網絡安全公司 NCC 集團的研究主管 Matt Lewis 推薦內含數字和字母大小寫的高強度文本密碼。
「説到保存祕密，我們還是要看 PIN 和密碼，」Lewis 説到。「任何生物識別技術都意味着認證信息是可以複製的，任何有足夠資源、時間和目標的人都可能試圖使用技術來欺騙它們。」

參考原文：

We Broke Into A Bunch Of Android Phones With A 3D-Printed Head

Huawei Mate 20 Pro face unlock fooled by two blokes with beards and short hair

本文來自公眾號「機器之心」（ID：deepchanpin），愛範兒經授權發佈。


資料來源：愛範兒（ifanr）