量子位 報道 | 公眾號 QbitAI

相比廣大安卓陣線的2D刷臉識別，iPhone用了更貴的傳感器，能夠?qū)崿F(xiàn)更周密強大的活體識別，保證用戶在閉眼情況下不會被解鎖手機。

但是，就在今年白帽黑客大會上，向來以安全著稱的iPhone刷臉，還是被一副簡單的眼鏡攻破了。

而且對于那些戴眼鏡的iPhone用戶，F(xiàn)ace ID可能存在一直未被發(fā)現(xiàn)的漏洞。

此次破解榮譽，屬于騰訊安全玄武實驗室的安全研究員馬卓。

最初，騰訊安全研究員的核心是刷臉解鎖中的“活體檢測”，即在刷臉過程中，需要用戶看一眼才能解鎖。

于是馬卓專門研究了活體檢測中的眼睛掃描原理，最后發(fā)現(xiàn)：

活體檢測對人眼的處理，最終會抽象為黑色區(qū)域（人眼）上嵌上白點（虹膜）。

而如果用戶戴上眼鏡，人眼的處理方式就會發(fā)生變化，F(xiàn)ace ID不再從“人眼”提取信息，活體檢測就存在空子可鉆。

于是騰訊安全研究員，基于這種空子，打造了一款眼鏡。

但即便如此，要實現(xiàn)類似對Face ID的攻破依然不容易，因為現(xiàn)實“作案”條件很難。

這個Face ID的用戶得處于“無意識”狀態(tài)，還不能在戴這副特殊眼鏡的過程中吵醒他。

所以，廣大iPhone用戶實際不用擔(dān)心，畢竟能符合“作案”條件的人，一般也不用如此大費周章搞副眼鏡才能轉(zhuǎn)走你的錢。

這也有利于業(yè)界更多關(guān)注活體識別潛在的缺陷。

馬卓也建議，生物識別公司可以為相機添加身份認(rèn)證，并增加視頻和音頻綜合檢測的權(quán)重。

最后，再小小介紹一下此次閃耀美國極客大會的騰訊安全研究員：馬卓。

他是騰訊安全玄武實驗室的安全研究員，被稱為“亂入白帽黑客界的煉金術(shù)師”，目前主要從事嵌入式安全、固件逆向等方向的研究。

參考報道：

https://threatpost.com/researchers-bypass-apple-faceid-using-biometrics-achilles-heel/147109/

https://www.theverge.com/2019/8/9/20798569/face-id-hack-black-hat-conference-2018-glasses-tape

— 完 —