Android 手機臉孔辨識解鎖可被 3D 列印人頭破解,只有 Apple Face ID 安全無虞

近日富比士記者 Thomas Brewster  發表一篇有關手機上臉孔辨識功能的報導,測試不同手機型號的安全性。測試手機包含 iPhone X、LG G7 ThinQ、Samsung S9、Note 8 和 OnePlus 6。結果發現,這幾款手機中,iPhone X 的安全性最高,不受測試用的假人頭暪騙。

這項測試是在英國伯明罕一家名為 Backface 的公司完成。Thomas Brewster 在具有 50 部相機的攝影棚中拍攝自己的頭像,合成一張完整的 3D 圖,再將此圖導入 3D 列印設備,製作出一個 3D 列印人頭。

3d-head-694x373

Thomas Brewster 先用自己的真面貌在手機上設定臉孔辨識,然後以這個假人頭逐一嘗試各款手機企圖解鎖。雖然過程遭遇不同程度的困難,但最終所有 Android 手機仍被假人頭騙過而成功解鎖。iPhone X 是這其中唯一不受愚弄的手機。

以 LG 的 G7 為例,第一次使用新機時會出現提示,警告使用者最好不要打開臉孔辨識功能,表明臉孔辨識只是一種輔助的解鎖方式,會導致手機安全性降低。

Samsung S9 也有類似提醒。奇怪的是,當使用者初次設定 S9 時,建議的解鎖選項是臉孔辨識和虹膜辨識。當然,3D 列印技術製作出的假人頭無法通過虹膜辨識。而在某些角度跟光線下,假人頭仍可欺瞞 S9 上的臉孔辨識。對於 Note 8,Samsung 還提供「快速辨識」選項,安全性比正常的臉孔辨識功能更低。無論哪一種方式,都能被假人頭解鎖。據 Samsung 表示,「臉孔辨識」只是打開手機的一種快速方式,就好像「滑動解鎖」。Samsung 另提供最高等級的生物驗證系統(指紋或虹膜)以解鎖手機、完成 Samsung Pay 支付或打開上鎖的文件夾。

OnePlus 6 沒有上述安全性相關提醒,假人頭可輕易地成功解鎖。 OnePlus 表示,臉孔辨識解鎖僅為方便而設,建議使用者還是採用密碼或指紋辨識來保證安全,且臉孔辨識解鎖功能不會應用在銀行帳戶或行動支付。

顯然地,除了 Apple ,大多 Android 手機廠商在臉孔辨識的安全性上仍有很大的進步空間。CC Group 安全研究主管 Matt Lewis 認為,如果使用擔心裝置被一顆「假人頭」破解,那麼最好不要使用臉孔辨識,改採複雜的字母或數字密碼會更安全。生物特徵辨識技術所面臨的現實問題就是生物特徵可以被複製。只要破解者擁有足夠時間、資源和特定的攻擊對象,就有辦法欺瞞過這類生物特徵辨識技術。