越南研究人員已經破解了臉部識別技術，該技術被用于聯想，華碩，東芝最新型號的筆記本電腦中以實現最高安全級別，研究人員計劃在下周的黑帽會議（BlackHatDC）上進行演示。一位越南研究人員將在下周的黑帽會議上演示他和他的同事們如何輕易地欺騙和繞過生物識別系統，該系統通過掃描用戶的臉部來驗證用戶身份。

研究人員破解了嵌入在聯想，華碩，東芝筆記本電腦中的生物識別身份驗證，他們僅僅使用一個授權用戶的照片，然后通過偽造的面部圖象來進行暴力破解。他們成功地繞過了聯想的VerifaceIII，華碩的SmartLogonV1.0.0005，以及東芝的人臉識別2.0.2.32系統，而且每一個系統都被調到了最高安全級別。破解顯示出這些系統中的漏洞，可以讓黑客利用偽造合法用戶照片來欺騙它們，從而獲得對筆記本電腦的訪問權限。

這些WindowsXP和Vista的筆記本電腦都通過內置式網絡攝像頭使用臉部識別技術。這種形式的認證被認為比指紋掃描更便捷，也比傳統密碼更安全。該軟件掃描用戶的臉部，然后存儲圖象和臉部特征。然后用戶可以通過掃描他/她的臉，與圖象數據進行對比后實現登錄。

研究人員能夠繞過不僅僅是采用授權用戶照片的的認證系統，而且可以創造出各種偽造的臉部圖象。“使用這個機制的三個廠商沒有達到一個認證系統所必需的安全要求，而且它們也不能完全保護它們的用戶不被篡改，”研究人員在個破解論文中寫道。

其中一名研究人員，NguyenMinhDuc是越南河內科技大學BachKhoa網絡安全中心的應用安全部經理，他聲稱將在黑帽會議上演示破解過程，以及他和他同事開發的利用工具。

“沒有辦法可以解決這一漏洞，”Duc稱。“華碩，聯想，東芝必須從它們所有型號的筆記本電腦中去除這一功能......[它們]必須對世界各地的用戶建議停止使用這個[生物識別]功能。”

攻擊者可以修改和調整偽造照片中的燈光和角度，以確保這些系統可以接受它。研究人員的論文稱“由于黑客不知道系統學習所得的臉部是什么樣子，所以他必須創造出大量的圖象......我們稱這種攻擊手段為“臉部偽造暴力攻擊”（FakeFaceBruteforce），利用目前所有的各種臉部編輯程序，可以很容易進行這種攻擊。”

“當我們研究這些算法時發現，它們都是利用圖象處理，工作在已經數字化的圖象之上。因此，我們認為這就是臉部識別系統，尤其是這三個廠商所提供的訪問控制系統中最薄弱的安全環節。”

著名動物群的機器學習專家稱，生物識別技術包含指紋識別、眼部視網膜識別、虹膜識別、聲波紋理識別、臉譜識別和手部特征識別等眾多技術，這次被破解的只是臉譜識別技術，屬于生物識別技術中安全性較低的類別，目前很多廠商使用的臉部圖象還只是二維或者2.5維，這樣的精確性會更加低。

實際上，生物識別技術的很多算法是基于統計學理論，這就使它不可避免的出現誤差，即使是公眾最熟悉的指紋識別技術，準確率也不能達到100%。專家稱，作為實用的識別算法，不但要考慮安全性問題，還要考慮識別效率，用戶不可能接受很長的識別時間，所以廠商只能使用一些速度較快但犧牲一些準確性的算法來達到要求，這就造成了算法潛在的安全問題。