iPhone X 刚开售一周,就有黑客表示已经破解了 Face ID
source link: http://36kr.com/p/5102535.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
编者按:就像当初的Touch ID一样,Face ID的发布也引起了黑客们的高度注意。近日,越南的一家安全公司Bkav标识,他们已经利用了一个相对简单的方式破解了Face ID。但具体使用的方式也引发了其他安全专家的质疑。本文发表在《连线》杂志,值得注意的是,前不久该杂志也花费了数千美元制造面具尝试对Face ID进行了破解,但最后无功而返。文章由36氪编译。
11月3日,在苹果发布iPhone X之后,它就在全球的黑客之间引发了一场竞争,因为他们都想成为第一个破解苹果Face ID的人。一周后,有黑客声称,他们已经成功复制了某人的面部,从而解锁了他的iPhone X。而且,这一技术看起来比一些安全研究人员想的要更简单。
上周五,越南安全公司Bkav发布了一篇博客文章和视频,展示了他们用3D打印的塑料、硅胶、化妆品和简单的纸张做成的复合面具,破解了Face ID系统,并解锁了iPhone X。虽然这一演示尚未得到其他安全研究人员的公开证实,但很显然,这可能会给iPhone X的安全性带来漏洞。尤其是这些研究人员表示,他们的面具成本仅为150美元。
不过,这只是专业黑客做的一种“概念验证”,如果考虑到做出这样的一个面部模型需要花费的时间与精力的话,这还不至于的引发普通iPhone的惊慌。
与此同时,Bkav在其博客文章和关于该研究的问题问答(Q&A)中也没有拐弯抹角。“苹果做得不太好,”该公司写道。“面部被遮盖也能也能进行面部识别,这意味着它不是一种有效的安全措施。”
如上面的动图所示,Bkav的一名员工用面具就直接可以解锁了iPhone X。尽管这款手机有着复杂的3D红外图像技术,用人工智能构建面部模型。但研究人员能够用一个相对简单的面具来实现这一效果:只需要一个雕刻出来的硅胶鼻子,一些印在纸上的二维的眼睛和嘴唇图像,然后把它们安装在一个3D打印的塑料框架上——这个塑料框架是通过对潜在受害者的面部进行数字扫描制成的。
不过,研究人员承认,他们的技术需要对目标iPhone用户的面部进行详细的测量或数字扫描。这使得他们的欺骗手段只能在高度针对性的间谍活动中才能有效,而不是大多数iPhone X用户可能会面临的那种普通黑客行为。
Bkav的研究人员写道:“潜在的目标不应该是普通用户,但亿万富翁、大公司的领导人、国家领导人以及FBI这样的组织的探员都需要了解Face ID的问题。”他们还表示,他们将在未来版本中尝试通过对受害者面部的快速扫描,甚至是通过照片创建的3D模型来完成,但他们并没有给出下一步试验的难易程度。
除了获取精确的脸部扫描的挑战外,研究人员的面具也更加便宜。这个月早些时候,《连线》杂志也进行了一些试验。在一位特效师的帮助下,《连线》杂志花费了数千美元,用五种不同材料(从硅胶到明胶到乙烯基材料)制作了一个职员的完整的面具。尽管在细节上也下了很多工夫,比如可以让眼球转动,以及浓密的眉毛等等,但在iPhone X面前,这些面具都没有奏效。
相比之下,Bkav的研究人员称,他们能够用廉价的材料、3D打印技术、而不是面部复刻来破解Face ID,或许最令人惊讶的是,它们使用的是固定的、二维的、打印在纸上的眼睛。研究人员还没有透露他们的工作流程,或者为什么会采用这种技术,这可能会引发一些质疑。但他们表示,部分原因在于,Face ID的传感器只检查了人们面部特征的一部分,在《连线》杂志此前的测试中也证实了这一点。
“识别机制并不像你想象的那么严格,”Bkav的研究人员写道。“我们只需要半张脸就能创造出这个面具。它甚至比我们自己想象的还要简单。”
然而,如果没有更多的细节,Bkav的这个结果仍旧有待观察。该公司没有立即回应《连线》杂志的一长串问题,称公司计划在本周晚些时候举办一场新闻发布会,透露更多信息。
安全研究员马克•罗杰斯(Marc Rogers)指出,在这些问题中,最突出的是,手机是如何获取机主的真实面孔数据的。罗杰斯猜测,Bkav的工作人员可能会“削弱”手机中的数字模型,从而导致一些功能则被模糊了。这实际上是在教手机识别一个看起来更像这个面具的脸,而不是创造一个看起来人脸的面具。
“就目前来说,我不能排除这些人可能是在欺骗我们。”
罗杰斯是安全公司Cloudflare的研究员,他曾与《连线》杂志合作,首次尝试破解人脸ID,Cloudflare也是2013年第一批破解苹果Touch ID的公司之一。
但Bkav的过往历史为其提出的方案提供了证明。近10年前,该公司的研究人员发现,只使用用户面部的二维图像,他们可能会打破包括联想、东芝和华硕在内的笔记本电脑制造商的面部识别技术。他们在2009年的黑帽安全会议(Black Hat security conference)上展示了这些被广泛引用的发现。
罗杰斯说,如果Bkav的发现确实得到了验证,该公司的研究中最出人意料的结果就是,即使是固定的,打印的眼睛也能欺骗Face ID。苹果的专利让罗杰斯相信,Face ID会追踪眼球运动。如果没有它,Face ID系统将会很容易受到攻击,不仅是简单的面具伪装,还有可能在用户睡觉、受到限制、甚至已经死亡的时候来解锁iPhone X。
最后一种情况尤其令人担忧,因为从理论上来说,就算是Touch ID也不存在这样的情况,因为在解锁之前其会检查活人手指的导电性。罗杰斯说:“这意味着,如果不进行任何测试,这就可能不是真的。如果这一切都得到证实,那就意味着Face ID还不如Touch ID安全。”目前还不清楚Face ID技术是否会使用眼球运动以外的任何方法来识别某人是否还活着。
尽管上述问题的威胁,罗杰斯在谈到Bkav的工作成果时说:“这仍然不是普通民众应该担心的那种攻击。相对来说,直接把手机“拿”出来,然后把它放在机主面前来解锁,就要比这个方式容易得多。”
原文链接:https://www.wired.com/story/hackers-say-broke-face-id-security/
编译组出品。编辑:郝鹏程
本文来自翻译, 如若转载请注明出处。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK