【51CTO.com快译】不知您是否听说过,如果你在智能手机上使用着面部识别服务,那么就会存在着一种可能性--某个长得和你十分相似的兄弟姐妹,将能够直接解锁你的手机屏幕。
尽管各大智能手机制造商都纷纷推出了各自独特的算法,以避免面容ID被破解的情况发生,但是就其自身安全而言,它毕竟不是一个全方位的“避风港”。
智能手机上的面部识别是如何工作的?
为了避免在黑暗处无法准确地扫描到用户的面部特征,许多面部识别系统都会使用红外线辐射扫描,而非可见光谱的技术。通常情况下,面部解锁服务会通过使用前置摄像头,来评估用户面部的独特图案和轮廓。这就是为什么,您在新买的智能手机上初次设置面部识别锁功能时,它需要对您的面部进行初始化扫描。而在扫描完成之后,它会将您的面部细节存储在内存中,并将相关特征信息转录为一些数学表达式。此后,当有人尝试用面部解锁的方式使用该智能手机时,它会将已存储的特征信息与当前用户的面部进行比较,以实现针对“访客”的安全验证。
然而,目前大多数可用的面部识别技术,都只会以二维数组的形式,收集用户的面部图片,并且将红外发射光谱与实际算法相结合,来防范系统级的图片盗用(picture-hacking)攻击。
为什么面部识别可能会失败
由于传统可见光谱类摄像头在扫描机制上存在着一些固有安全漏洞,因此它们既可能在验证相似人脸时发生错误的授权,又可能会被攻击者运用静态照片而蒙混过关。显然,高故障率的技术肯定不适合现代智能手机的安全性要求。下面,让我们通过几个示例,来了解智能手机在面部识别过程中的一些典型出错案例。
三星的虹膜技术虽然准确,但容易被骗
三星虹膜扫描技术始于Galaxy S8和S8+。它通过在用户的面部识别预定的特征点,以提高手机访问的安全性。简单而言,该技术的工作原理就是,扫描虹膜中的各个独特图案。
鉴于虹膜图案对每个人来说都是独一无二的,因此三星曾宣称这是一项“万无一失”的技术。不过,从技术角度来说,这种扫描方法仍存在着某些潜在的缺陷。例如,攻击者完全可以通过佩戴隐形眼镜,来欺骗该验证机制。
尽管在其S21系列等较新的版本中,三星已经将2D成像与虹膜扫描相结合,但是它仍然警告用户:使用面部识别服务,并不如使用PIN或指纹扫描那样安全。同时,三星还进一步建议:不要将此功能用于在线支付、以及汇款平台。
华为2D活体检测也只是近乎完美
使用开源Android内核的华为,也成功地在面部识别领域交出了令人满意的“答卷”。他们首创性地在P20系列中引入了具有安全性的面部识别服务,并将其一直延伸到了Mate 10等后续的智能产品中。在此,华为使用的是所谓2D活体检测(Live Detection)技术。该技术引入了眨眼等面部动作要求,以阻止任何人使用合法用户的照片去解锁华为的智能手机。
当然,此类功能仍然取决于手机前置摄像头的当前状态。如果摄像头的可用资源被耗尽,也就是我们常说的遭遇到拒绝服务攻击(DoS)等攻击时,其安全水平和准确性有可能会被削弱。
为何受信的Apple面容ID也可能失败
Apple的面容ID是在2017年与iPhone X一起推出的,而且被公认为目前最先进的智能手机面部识别系统。
与华为和三星的2D虹膜红外扫描技术相比,Apple使用的是TrueDepth摄像头系统,而非单个前置摄像头,来捕捉用户的3D面部信息。这种TrueDepth技术会将红外捕获与传感器、以及扫描组件相结合。也就是说,在扫描的过程中,它会分析用户面部的30,000多个点状区域,以创建深度的面部模型。
可见,随着iPhone对这些模型的持续学习、记忆和识别,它将不会被某种图片、或某位“撞脸”的人所欺骗。而与一次性形成的虹膜面部识别对比,Apple面容ID还会随着时间的推移,逐渐适应用户的面部表情和外貌的变化,以提高验证的准确性。
当然,Apple也声称:iPhone能够被长得高度相似的人解锁的可能性仅占总体识别的百万分之一。而且,它也提示用户:此类情况在那些同卵双胞胎、兄弟姐妹、以及面部结构尚未完全发育的儿童身上,发生的可能性会更高。
这种可性能背后的原理是:iPhone每次在被使用Apple密码解锁时,其面容ID都会去采集那一刻该用户的面部信息。因此,如果有人下一次选择面部解锁的话,iPhone就会使用上一次被微调或扩充了的面部图案特征,去验证和解锁。那么,如果有人获悉了您的解锁密码,就可能会产生安全隐患。也就是说,攻击者将来可能不需要再使用您的密码,便可解锁您的iPhone。
如何防止陌生的面孔解锁您的设备
显然,智能手机上的面部识别一旦被破解,就会给我们的工作与生活带来极大的威胁。对此,让我们来看看如何通过如下方法予以避免。
如前所述,破解iPhone的面容ID,主要源于其内部算法学习到了他人的面部模式。对此,最简单的防范方式莫过于:不要与其他人共享您的Apple ID。同时,也请谨慎地在有和你长相酷似的亲戚在场时,解锁绑定了你的Apple ID的iPhone。
如果您发现自己的面容ID功能已经失效,那么请尽快在iPhone上依次点击进入:“设置” > “面容ID和密码” > 按需输入解锁密码 > “重置面容ID”,然后删除掉已被存储的已有面容ID数据。此举会将你的面部数据从手机存储库中删除,同时也包含了所有已存储的、用于设置面部模式的数学算法。接着,您完全可以重新创建和录入一套新的面部特征信息。
同时,您也应当开启“需要注视”,以确保使用面容ID服务的任何人,都必须主动注视该设备。换句话说,在您睡着、或将视线移开时,将没有人可以用您的脸,来解锁该iPhone。其对应的具体设置步骤为:“设置” > “面容ID和密码” > 打开“需要注视以启用面容ID”右侧的开关。
正如前文所述,一些智能手机制造商已警告其用户:在线交易过程中,若使用面部验证,则可能存在着安全隐患。他们声称指纹和PIN码仍然是保障交易的最安全方式。因此,如果你的智能手机上的面部识别服务一直报告解锁失败的话,你应当尽快停用之,以防止未经授权的访问继续在设备施虐。
面部识别的不断进步
如今,凭借着大量可用的数据集,对于图像识别的研究已经深入到了更加高级的阶段。例如,在火车站检票等应用场景中,乘客即使戴着口罩,也能被识别出他们的身份。尽管智能手机面部识别服务的背后存在着上述安全隐患,但是以人工智能和机器学习为代表的数据,持续在训练和提高面部识别模型的准确性等方面,不断赋能与突破。可以说,面部识别的安全性未来是值得期待的。
原文标题:Face ID: Can Strangers Unlock Your Smartphone and How Can You Prevent It?,作者: IDOWU OMISOLA
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
