手機臉部辨識被 3D 列印頭像破解了，你還敢用嗎？

隨著 AI 加持智慧手機，臉部辨識也已成為智慧手機的標配；與指紋辨識、符號密碼等傳統的智慧手機解鎖模式相比，臉部辨識功能顯得更方便。但從隱私保護層面看來，未必更安全，尤其是 Android 設備。

12 月 13 日，富比士記者 Thomas Brewster 發表一篇文章，介紹自己的 3D 列印頭型如何成功騙過智慧手機臉部辨識的過程。

據了解，Thomas Brewster 是在英國伯明罕一家名為 Backface 的公司完成整個測試。他先在這家公司有 50 台相機的攝影棚裡拍攝自己的頭像，並合成一張完整的 3D 圖像，然後將圖像導入 3D 列印設備，最終列印出 3D 頭型。

當然，這個頭型並不完美，隨後 Backface 公司又花了幾天修飾頭型──但前後價格僅 300 多歐元。

隨後，關於臉部辨識安全性的測試正式開始。

Thomas Brewster 先用自己的臉，在 5 支智慧手機登錄臉部資訊，這 5 支智慧手機為 iPhone X、LG G7 ThinQ、三星 Galaxy S9、三星 Note 8 和一加 6。然後用列印的 3D 頭型測試這 5 款手機的臉部解鎖功能。

（Source：影片截圖）

最終的結果是，所有參與測試的 Android 裝置都被成功騙過（雖然有難度的差異），而 iPhone X 的表現無懈可擊。

LG G7、一加 6、三星 S9 和 Note 8 的臉部辨識功能被成功騙過，表明在臉部辨識的安全性還不夠；但從技術層面來說，本來和 iPhone X 的 3D 臉部辨識系統就不是同層級。

對前者來說，臉部辨識是輔助型的生物辨識解鎖工具，而對 iPhone X 而言，臉部辨識是唯一的生物辨識選項。

Thomas Brewster 表示，初次使用 LG G7 登錄臉部時，用戶會收到提醒，告知臉部辨識是不太安全的備用項。不過，LG 方面表示，後續使用過程，臉部辨識會漸漸更新，提升穩定性和安全性──但 PIN 碼和指紋辨識是首選。

三星 S9 也有類似提醒。然而用戶初次設定手機時，就會被建議採用臉部辨識和虹膜辨識。當然，在 3D 列印狀態下，虹膜辨識顯然不可行，但臉部辨識就成功了，雖然也需要一些不同角度和光線。

而三星 Note 8，三星提供「快速辨識」選項，比正常臉部辨識更不安全。三星回應，臉部辨識是打開手機的便捷方式，有點像「滑動解鎖」，但三星也提供最高等級的生物驗證系統──指紋或虹膜──來解鎖手機、完成 Samsung Pay 支付或打開安全文件夾。

一加 6 沒有上述關於安全性提醒，且用 3D 頭型解鎖時很快就成功了。一加對此回應，臉部解鎖是基於便利性打造，建議用戶利用密碼、數字、指紋來保證安全性，同時臉部解鎖功能不會應用於銀行帳戶、支付等應用。

iPhone X 毫無懸念通過了測試，這是它積極投入臉部辨識軟硬體而決定的；為了測試安全性，蘋果甚至與好萊塢攝影棚聯合打造仿真面具來測試安全性。基於這種安全等級，蘋果已在 iPhone X 及後續產品放棄了指紋辨識，採用臉部辨識為支付安全工具。

另外，微軟 Windows Hello 的臉部辨識表現也不錯，成功通過測試；儘管 Thomas Brewster 並沒有說明他測試的是哪支 Windows 設備。

顯然，除了蘋果，眾多 Android 廠商在臉部辨識的安全性，還有很大的提升空間──迄今為止，大多數 Android 手機廠商還不敢徹底拿掉指紋辨識功能（雖然不少廠商已把指紋辨識模組放在螢幕下方），但也有 Android 廠商已採用前置 3D 深度鏡頭模組並支援支付功能，只不過不在本次測試範圍。

（Source：Flickr/Kārlis Dambrāns CC BY 2.0）

NCC Group 安全研究員 Matt Lewis 認為，如果用戶擔心裝置被一顆「假頭」破解，那麼最好不要使用臉部辨識，選用 PIN 碼或密碼，因為基於生物特徵的解鎖容易以各種方式破解──只要破解者擁有夠多時間、資源和特定的攻擊對象。

不過，就算 300 多歐元不是巨款，破解過程必須的 3D 列印技術也並非隨便就能用到──換句話說，進行這種臉部破解攻擊畢竟成本不低。Thomas Brewster 的測試足以證明 Android 臉部辨識不夠安全，但並沒有證明破解有多容易，尤其對普通人而言。

最後的問題來了，讀完這篇文章之後，你還會使用手機的臉部辨識來解鎖嗎？

（本文由雷鋒網授權轉載；首圖來源：shutterstock）