原標(biāo)題：蘋(píng)果Face ID被破解，安全性不敢恭維?。?/p>

8月3，2019年黑帽網(wǎng)絡(luò)安全美國(guó)大會(huì)(Black Hat USA 2019)在拉斯維加斯成功舉行，作為全球領(lǐng)先的信息安全大會(huì)，Black Hat已經(jīng)步入了第22個(gè)年頭，每年大會(huì)上都會(huì)針對(duì)當(dāng)下熱點(diǎn)網(wǎng)絡(luò)安全趨勢(shì)進(jìn)行研討，而在大會(huì)上出現(xiàn)的技術(shù)也常常成為引領(lǐng)和推動(dòng)未來(lái)網(wǎng)絡(luò)安全發(fā)展的抓手和助力。這其中“身份驗(yàn)證安全與提權(quán)”也是重點(diǎn)之一。

在大會(huì)上，“身份驗(yàn)證安全與提權(quán)”這項(xiàng)目備受關(guān)注。大會(huì)上有來(lái)自不同團(tuán)隊(duì)的專(zhuān)家對(duì)涉及破壞身份驗(yàn)證并進(jìn)行提權(quán)的情形從各個(gè)角度進(jìn)行講解。比如來(lái)自Micro Focus Fortify的Alvaro Munoz和Oleksandr Mirosh深入研究威脅單點(diǎn)登錄安全性的主要漏洞。來(lái)自Preempt的Marina Simakov和Yaron Zinar展示在Active Directory中發(fā)現(xiàn)的幾個(gè)新漏洞，包括一個(gè)尚未公布的零日漏洞，能夠讓攻擊者能夠接管域中的任何設(shè)備。

最值得一提的是，來(lái)自騰訊安全團(tuán)隊(duì)的Yu Chen和Bin Ma帶來(lái)繞過(guò)現(xiàn)有生物識(shí)別安全解決方案的新思路分享，包括支付軟件使用的面部和聲紋識(shí)別漏洞。而就是在這個(gè)講解內(nèi)容中，騰訊研究人員利用一副鏡片上帶有膠帶的眼鏡，順利騙過(guò)了蘋(píng)果的Face ID識(shí)別系統(tǒng)，這真是讓會(huì)上所有人員震驚。而對(duì)于蘋(píng)果手機(jī)用戶(hù)，安全性在哪呢？

據(jù)悉，這種破解方法是利用了蘋(píng)果Face ID生物識(shí)別技術(shù)背后的“活體檢測(cè)”功能，通過(guò)檢測(cè)背景噪音、響應(yīng)失真等事件來(lái)識(shí)別“真假”面部特征。但實(shí)際上，這種“活體檢測(cè)”并不能確認(rèn)解鎖時(shí)設(shè)備所有人的實(shí)測(cè)數(shù)據(jù)是否已經(jīng)過(guò)本人授權(quán)。資料顯示，在安全性方面，Touch ID的安全性為1/50,000，F(xiàn)ace ID的安全性達(dá)為一百萬(wàn)分之一。

而居騰訊安全研究員馬卓表示，活體檢測(cè)在對(duì)用戶(hù)眼部進(jìn)行識(shí)別時(shí)，將其抽象化處理成黑區(qū)+白點(diǎn)的形式來(lái)模擬眼鏡和虹膜，而Face ID的弱點(diǎn)在于，它允許用戶(hù)帶著眼鏡解鎖。在用戶(hù)佩戴眼鏡時(shí)，檢測(cè)的方式也會(huì)發(fā)生變化，系統(tǒng)會(huì)自動(dòng)跳過(guò)對(duì)眼部區(qū)域3D信息的提取，因此僅利用膠帶和眼鏡便可以順利解鎖。研究人員稱(chēng)，偽造的數(shù)據(jù)可以竊取用戶(hù)的設(shè)備指紋，制造虛假音頻，甚至轉(zhuǎn)移錢(qián)財(cái)。但這種破解蘋(píng)果人臉識(shí)別的方法有條件限制。

首先需要在鏡片上放置剪裁好的膠帶，其次蘋(píng)果設(shè)備所有人需要處于無(wú)意識(shí)狀態(tài)，最后不法分子需要將眼鏡帶在受害者臉上，完成人臉識(shí)別。雖然所需材料很簡(jiǎn)單，但實(shí)際完成整個(gè)過(guò)程并不是十分容易，尤其是需要保證受害者完全失去意識(shí)。設(shè)備所有人若能夠在公共場(chǎng)所或陌生人面前隨時(shí)提高警惕，也可有效防止這類(lèi)侵權(quán)事件的發(fā)生。

資料顯示，2017年9月13日，蘋(píng)果召開(kāi)發(fā)布會(huì)，發(fā)布的iPhone X支持Face ID登錄解鎖功能。也就是說(shuō)，F(xiàn)ace ID其實(shí)是iPhone X用于替代Touch ID而推出的刷臉認(rèn)證方式，其搭載環(huán)境光傳感器、距離感應(yīng)器，還集成了紅外鏡頭、泛光感應(yīng)元件(flood camera)和點(diǎn)陣投影器，多種配置共同搭建用戶(hù)3D 臉部模型。

而蘋(píng)果Face ID工作原理其實(shí)很簡(jiǎn)單，首先是Face ID的錄入動(dòng)畫(huà)，當(dāng)Face ID在錄入過(guò)程中識(shí)別到人臉時(shí)，會(huì)從灰色笑臉酷炫變身成藍(lán)色笑臉；其次是錄入方式，根據(jù)iOS 11的提示，你必須隨在iPhone前上下左右環(huán)視一周，才能完成臉部信息錄入的工作；最后是Face ID的設(shè)置界面，也透露出了更多的內(nèi)容，F(xiàn)ace ID不僅可以解鎖iPhone，甚至能代替密碼在iTunes和App Store購(gòu)物！這已經(jīng)完全替代了指紋識(shí)別Touch ID的工作。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。