如何防止面容ID被破解
譯文【51CTO.com快譯】不知您是否聽說過,如果你在智能手機上使用著面部識別服務,那么就會存在著一種可能性--某個長得和你十分相似的兄弟姐妹,將能夠直接解鎖你的手機屏幕。
盡管各大智能手機制造商都紛紛推出了各自獨特的算法,以避免面容ID被破解的情況發生,但是就其自身安全而言,它畢竟不是一個全方位的“避風港”。
智能手機上的面部識別是如何工作的?
為了避免在黑暗處無法準確地掃描到用戶的面部特征,許多面部識別系統都會使用紅外線輻射掃描,而非可見光譜的技術。通常情況下,面部解鎖服務會通過使用前置攝像頭,來評估用戶面部的獨特圖案和輪廓。這就是為什么,您在新買的智能手機上初次設置面部識別鎖功能時,它需要對您的面部進行初始化掃描。而在掃描完成之后,它會將您的面部細節存儲在內存中,并將相關特征信息轉錄為一些數學表達式。此后,當有人嘗試用面部解鎖的方式使用該智能手機時,它會將已存儲的特征信息與當前用戶的面部進行比較,以實現針對“訪客”的安全驗證。
然而,目前大多數可用的面部識別技術,都只會以二維數組的形式,收集用戶的面部圖片,并且將紅外發射光譜與實際算法相結合,來防范系統級的圖片盜用(picture-hacking)攻擊。
為什么面部識別可能會失敗
由于傳統可見光譜類攝像頭在掃描機制上存在著一些固有安全漏洞,因此它們既可能在驗證相似人臉時發生錯誤的授權,又可能會被攻擊者運用靜態照片而蒙混過關。顯然,高故障率的技術肯定不適合現代智能手機的安全性要求。下面,讓我們通過幾個示例,來了解智能手機在面部識別過程中的一些典型出錯案例。
三星的虹膜技術雖然準確,但容易被騙
三星虹膜掃描技術始于Galaxy S8和S8+。它通過在用戶的面部識別預定的特征點,以提高手機訪問的安全性。簡單而言,該技術的工作原理就是,掃描虹膜中的各個獨特圖案。
鑒于虹膜圖案對每個人來說都是獨一無二的,因此三星曾宣稱這是一項“萬無一失”的技術。不過,從技術角度來說,這種掃描方法仍存在著某些潛在的缺陷。例如,攻擊者完全可以通過佩戴隱形眼鏡,來欺騙該驗證機制。
盡管在其S21系列等較新的版本中,三星已經將2D成像與虹膜掃描相結合,但是它仍然警告用戶:使用面部識別服務,并不如使用PIN或指紋掃描那樣安全。同時,三星還進一步建議:不要將此功能用于在線支付、以及匯款平臺。
華為2D活體檢測也只是近乎完美
使用開源Android內核的華為,也成功地在面部識別領域交出了令人滿意的“答卷”。他們首創性地在P20系列中引入了具有安全性的面部識別服務,并將其一直延伸到了Mate 10等后續的智能產品中。在此,華為使用的是所謂2D活體檢測(Live Detection)技術。該技術引入了眨眼等面部動作要求,以阻止任何人使用合法用戶的照片去解鎖華為的智能手機。
當然,此類功能仍然取決于手機前置攝像頭的當前狀態。如果攝像頭的可用資源被耗盡,也就是我們常說的遭遇到拒絕服務攻擊(DoS)等攻擊時,其安全水平和準確性有可能會被削弱。
為何受信的Apple面容ID也可能失敗
Apple的面容ID是在2017年與iPhone X一起推出的,而且被公認為目前最先進的智能手機面部識別系統。
與華為和三星的2D虹膜紅外掃描技術相比,Apple使用的是TrueDepth攝像頭系統,而非單個前置攝像頭,來捕捉用戶的3D面部信息。這種TrueDepth技術會將紅外捕獲與傳感器、以及掃描組件相結合。也就是說,在掃描的過程中,它會分析用戶面部的30,000多個點狀區域,以創建深度的面部模型。
可見,隨著iPhone對這些模型的持續學習、記憶和識別,它將不會被某種圖片、或某位“撞臉”的人所欺騙。而與一次性形成的虹膜面部識別對比,Apple面容ID還會隨著時間的推移,逐漸適應用戶的面部表情和外貌的變化,以提高驗證的準確性。
當然,Apple也聲稱:iPhone能夠被長得高度相似的人解鎖的可能性僅占總體識別的百萬分之一。而且,它也提示用戶:此類情況在那些同卵雙胞胎、兄弟姐妹、以及面部結構尚未完全發育的兒童身上,發生的可能性會更高。
這種可性能背后的原理是:iPhone每次在被使用Apple密碼解鎖時,其面容ID都會去采集那一刻該用戶的面部信息。因此,如果有人下一次選擇面部解鎖的話,iPhone就會使用上一次被微調或擴充了的面部圖案特征,去驗證和解鎖。那么,如果有人獲悉了您的解鎖密碼,就可能會產生安全隱患。也就是說,攻擊者將來可能不需要再使用您的密碼,便可解鎖您的iPhone。
如何防止陌生的面孔解鎖您的設備
顯然,智能手機上的面部識別一旦被破解,就會給我們的工作與生活帶來極大的威脅。對此,讓我們來看看如何通過如下方法予以避免。
如前所述,破解iPhone的面容ID,主要源于其內部算法學習到了他人的面部模式。對此,最簡單的防范方式莫過于:不要與其他人共享您的Apple ID。同時,也請謹慎地在有和你長相酷似的親戚在場時,解鎖綁定了你的Apple ID的iPhone。
如果您發現自己的面容ID功能已經失效,那么請盡快在iPhone上依次點擊進入:“設置” > “面容ID和密碼” > 按需輸入解鎖密碼 > “重置面容ID”,然后刪除掉已被存儲的已有面容ID數據。此舉會將你的面部數據從手機存儲庫中刪除,同時也包含了所有已存儲的、用于設置面部模式的數學算法。接著,您完全可以重新創建和錄入一套新的面部特征信息。
同時,您也應當開啟“需要注視”,以確保使用面容ID服務的任何人,都必須主動注視該設備。換句話說,在您睡著、或將視線移開時,將沒有人可以用您的臉,來解鎖該iPhone。其對應的具體設置步驟為:“設置” > “面容ID和密碼” > 打開“需要注視以啟用面容ID”右側的開關。
正如前文所述,一些智能手機制造商已警告其用戶:在線交易過程中,若使用面部驗證,則可能存在著安全隱患。他們聲稱指紋和PIN碼仍然是保障交易的最安全方式。因此,如果你的智能手機上的面部識別服務一直報告解鎖失敗的話,你應當盡快停用之,以防止未經授權的訪問繼續在設備施虐。
面部識別的不斷進步
如今,憑借著大量可用的數據集,對于圖像識別的研究已經深入到了更加高級的階段。例如,在火車站檢票等應用場景中,乘客即使戴著口罩,也能被識別出他們的身份。盡管智能手機面部識別服務的背后存在著上述安全隱患,但是以人工智能和機器學習為代表的數據,持續在訓練和提高面部識別模型的準確性等方面,不斷賦能與突破。可以說,面部識別的安全性未來是值得期待的。
原文標題:Face ID: Can Strangers Unlock Your Smartphone and How Can You Prevent It?,作者: IDOWU OMISOLA
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
