Face ID爆出新漏洞 “假”眼镜可骗过人脸生物识别

据媒体报道,今年在拉斯维加斯举行的美国黑帽大会上,有研究人员展示了一种可以绕过Face ID人脸识别的方法:使用一款稍作加工的假眼镜就可以解锁iPhone。

face081202

在演示中,研究人员给测试者戴上一款镜片被涂黑,中间画着白圆点(用来模仿眼球)的假眼镜,以此营造出一个测试者睡觉时被戴上眼镜的场景,随后使用测试者的手机,进行面部识别便可以进入他的iPhone,还能通过移动支付应用程序给其他人汇款。

Face ID的技术资料显示,该技术具有活体检测功能,从而确保人脸是真实的而不是面具。Face ID人脸识别除了使用这种活性检测功能,苹果公司还加入了“注视感知”功能,可以确保只有人睁开眼睛盯着iPhone看它才会解锁,这个设计就是为了防止用户在睡觉时被他人盗刷手机。

“我们的研究发现Face ID的bug在于,它允许用户戴眼镜解锁,当用户戴着眼镜进行面部识别时,Face ID识别出用户戴眼镜后,就不会从眼框区域提取3D信息。”研究人员就是利用这点设计了这款假眼镜来骗过“注视感知”功能。研究人员认为,如果针对正在睡觉或失去知觉的受害者,在不吵醒他的情况下将眼镜戴上,理论上是有可能解锁他的iPhone的。

一位安全方面的资深专家向财经网表示,从目前的面部识别技术来看,iPhone采用的Face ID还属于较为安全的一种,iPhone设备上生物特征支付:Face ID,它是基于iPhone手机本地的安全校验,Face ID、指纹是存储本地安全芯片中,能够保证不被第三方应用读取,它负责生物特征校验,不会向第三方厂商上传数据。但是这次安全bug也体现了Face ID在技术上的缺陷。

face081201

生物识别验证支付流程

此外,该安全专家还指出,在没有Face ID的手机上,如低版本iPhone和Android手机上,支付宝上会有“支付宝刷脸付”,这一套业务逻辑是支付宝自己做的,需要将用户脸部特征信息上传服务器端进行校验,并下发校验结果,这个业务规则在支付宝生物识别通用规则中也有体现,这个校验基于支付宝服务器端的校验逻辑,需要用户将面容信息上传。

安全专家提醒用户,虽然支付宝刷脸付、到店付等功能比较方便,但毕竟需要将面容信息上传服务器端,用户个人生物特征就会被第三方平台收集,这也造成个人信息泄露的可能。

未经允许不得转载:数智网 » Face ID爆出新漏洞 “假”眼镜可骗过人脸生物识别

分享到: