你能信任吗?手机脸部可被3D打印机打败

随着 AI 加持智慧手机，脸部辨识也已成为智慧手机的标配；与指纹辨识、符号密码等传统的智能手机解锁模式相比，脸部辨识功能显得更方便。但从隐私保护层面看来，未必更安全，尤其是 Android 设备。

3D 打印头型与人脸辨识的较量 12 月 13 日，富比士记者 Thomas Brewster 发表一篇文章，介绍自己的 3D 打印头型如何成功骗过智慧手机脸部辨识的过程。据了解，Thomas Brewster 是在英国伯明翰一家名为 Backface 的公司完成整个测试。他先在这家公司有 50 台相机的摄影棚里拍摄自己的头像，并合成一张完整的 3D 图像，然后将图像导入 3D 打印设备，最终打印出 3D 头型。当然，这个头型并不完美，随后 Backface 公司又花了几天修饰头型──但前后价格仅 300 多欧元。随后，关于脸部辨识安全性的测试正式开始。Thomas Brewster 先用自己的脸，在 5 支智慧手机登录脸部信息，这 5 支智慧手机为 iPhone X、LG G7 ThinQ、三星 Galaxy S9、三星 Note 8 和一加 6。然后用打印的 3D 头型测试这 5 款手机的脸部解锁功能。最终的结果是，所有参与测试的 Android 装置都被成功骗过（虽然有难度的差异），而 iPhone X 的表现无懈可击。

脸部辨识并不是第一解锁选项 LG G7、一加 6、三星 S9 和 Note 8 的脸部辨识功能被成功骗过，表明在脸部辨识的安全性还不够；但从技术层面来说，本来和 iPhone X 的 3D 脸部辨识系统就不是同层级。对前者来说，脸部辨识是辅助型的生物辨识解锁工具，而对 iPhone X 而言，脸部辨识是唯一的生物辨识选项。Thomas Brewster 表示，初次使用 LG G7 登录脸部时，用户会收到提醒，告知脸部辨识是不太安全的备用项。不过，LG 方面表示，后续使用过程，脸部辨识会渐渐更新，提升稳定性和安全性──但 PIN 码和指纹辨识是首选。三星 S9 也有类似提醒。然而用户初次设定手机时，就会被建议采用脸部辨识和虹膜辨识。当然，在 3D 打印状态下，虹膜辨识显然不可行，但脸部辨识就成功了，虽然也需要一些不同角度和光线。

而三星 Note 8，三星提供「快速辨识」选项，比正常脸部辨识更不安全。三星响应，脸部辨识是打开手机的便捷方式，有点像「滑动解锁」，但三星也提供最高等级的生物验证系统──指纹或虹膜──来解锁手机、完成 Samsung Pay 支付或打开安全活页夹。一加 6 没有上述关于安全性提醒，且用 3D 头型解锁时很快就成功了。一加对此响应，脸部解锁是基于便利性打造，建议用户利用密码、数字、指纹来保证安全性，同时脸部解锁功能不会应用于银行帐户、支付等应用。iPhone X 毫无悬念通过了测试，这是它积极投入脸部辨识软硬件而决定的；为了测试安全性，苹果甚至与好莱坞摄影棚联合打造仿真面具来测试安全性。基于这种安全等级，苹果已在 iPhone X 及后续产品放弃了指纹辨识，采用脸部辨识为支付安全工具。另外，微软 Windows Hello 的脸部辨识表现也不错，成功通过测试；尽管 Thomas Brewster 并没有说明他测试的是哪支 Windows 设备。

总结 显然，除了苹果，众多 Android 厂商在脸部辨识的安全性，还有很大的提升空间──迄今为止，大多数 Android 手机厂商还不敢彻底拿掉指纹辨识功能（虽然不少厂商已把指纹辨识模块放在屏幕下方），但也有 Android 厂商已采用前置 3D 深度镜头模块并支持支付功能，只不过不在本次测试范围。NCC Group 安全研究员 Matt Lewis 认为，如果用户担心装置被一颗「假头」破解，那么最好不要使用脸部辨识，选用 PIN 码或密码，因为基于生物特征的解锁容易以各种方式破解──只要破解者拥有够多时间、资源和特定的攻击对象。不过，就算 300 多欧元不是巨款，破解过程必须的 3D 打印技术也并非随便就能用到──换句话说，进行这种脸部破解攻击毕竟成本不低。Thomas Brewster 的测试足以证明 Android 脸部辨识不够安全，但并没有证明破解有多容易，尤其对普通人而言。最后的问题来了，读完这篇文章之后，你还会使用手机的脸部辨识来解锁吗？部分参考来源至：胜博发一起祈福 chiayuan.org.tw/