蘋果Face ID被破解，安全性不敢恭維啊！

原標題：蘋果Face ID被破解，安全性不敢恭維?。?/p>

8月3，2019年黑帽網(wǎng)絡(luò)安全美國大會(Black Hat USA 2019)在拉斯維加斯成功舉行，作為全球領(lǐng)先的信息安全大會，Black Hat已經(jīng)步入了第22個年頭，每年大會上都會針對當下熱點網(wǎng)絡(luò)安全趨勢進行研討，而在大會上出現(xiàn)的技術(shù)也常常成為引領(lǐng)和推動未來網(wǎng)絡(luò)安全發(fā)展的抓手和助力。這其中“身份驗證安全與提權(quán)”也是重點之一。

在大會上，“身份驗證安全與提權(quán)”這項目備受關(guān)注。大會上有來自不同團隊的專家對涉及破壞身份驗證并進行提權(quán)的情形從各個角度進行講解。比如來自Micro Focus Fortify的Alvaro Munoz和Oleksandr Mirosh深入研究威脅單點登錄安全性的主要漏洞。來自Preempt的Marina Simakov和Yaron Zinar展示在Active Directory中發(fā)現(xiàn)的幾個新漏洞，包括一個尚未公布的零日漏洞，能夠讓攻擊者能夠接管域中的任何設(shè)備。

最值得一提的是，來自騰訊安全團隊的Yu Chen和Bin Ma帶來繞過現(xiàn)有生物識別安全解決方案的新思路分享，包括支付軟件使用的面部和聲紋識別漏洞。而就是在這個講解內(nèi)容中，騰訊研究人員利用一副鏡片上帶有膠帶的眼鏡，順利騙過了蘋果的Face ID識別系統(tǒng)，這真是讓會上所有人員震驚。而對于蘋果手機用戶，安全性在哪呢？

據(jù)悉，這種破解方法是利用了蘋果Face ID生物識別技術(shù)背后的“活體檢測”功能，通過檢測背景噪音、響應(yīng)失真等事件來識別“真假”面部特征。但實際上，這種“活體檢測”并不能確認解鎖時設(shè)備所有人的實測數(shù)據(jù)是否已經(jīng)過本人授權(quán)。資料顯示，在安全性方面，Touch ID的安全性為1/50,000，F(xiàn)ace ID的安全性達為一百萬分之一。

而居騰訊安全研究員馬卓表示，活體檢測在對用戶眼部進行識別時，將其抽象化處理成黑區(qū)+白點的形式來模擬眼鏡和虹膜，而Face ID的弱點在于，它允許用戶帶著眼鏡解鎖。在用戶佩戴眼鏡時，檢測的方式也會發(fā)生變化，系統(tǒng)會自動跳過對眼部區(qū)域3D信息的提取，因此僅利用膠帶和眼鏡便可以順利解鎖。研究人員稱，偽造的數(shù)據(jù)可以竊取用戶的設(shè)備指紋，制造虛假音頻，甚至轉(zhuǎn)移錢財。但這種破解蘋果人臉識別的方法有條件限制。

首先需要在鏡片上放置剪裁好的膠帶，其次蘋果設(shè)備所有人需要處于無意識狀態(tài)，最后不法分子需要將眼鏡帶在受害者臉上，完成人臉識別。雖然所需材料很簡單，但實際完成整個過程并不是十分容易，尤其是需要保證受害者完全失去意識。設(shè)備所有人若能夠在公共場所或陌生人面前隨時提高警惕，也可有效防止這類侵權(quán)事件的發(fā)生。

資料顯示，2017年9月13日，蘋果召開發(fā)布會，發(fā)布的iPhone X支持Face ID登錄解鎖功能。也就是說，F(xiàn)ace ID其實是iPhone X用于替代Touch ID而推出的刷臉認證方式，其搭載環(huán)境光傳感器、距離感應(yīng)器，還集成了紅外鏡頭、泛光感應(yīng)元件(flood camera)和點陣投影器，多種配置共同搭建用戶3D 臉部模型。

而蘋果Face ID工作原理其實很簡單，首先是Face ID的錄入動畫，當Face ID在錄入過程中識別到人臉時，會從灰色笑臉酷炫變身成藍色笑臉；其次是錄入方式，根據(jù)iOS 11的提示，你必須隨在iPhone前上下左右環(huán)視一周，才能完成臉部信息錄入的工作；最后是Face ID的設(shè)置界面，也透露出了更多的內(nèi)容，F(xiàn)ace ID不僅可以解鎖iPhone，甚至能代替密碼在iTunes和App Store購物！這已經(jīng)完全替代了指紋識別Touch ID的工作。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。