允中 發自 凹非寺

量子位 報道 | 公衆号 QbitAI

Face ID，蘋果iPhone最先進的刷臉解鎖方式，也一直以3D識别更安全而著稱。

相比廣大安卓陣線的2D刷臉識别，iPhone用了更貴的傳感器，能夠實現更周密強大的活體識别，保證用戶在閉眼情況下不會被解鎖手機。

但是，就在今年白帽黑客大會上，向來以安全著稱的iPhone刷臉，還是被一副簡單的眼鏡攻破了。

而且對于那些戴眼鏡的iPhone用戶，Face ID可能存在一直未被發現的漏洞。

此次破解榮譽，屬于騰訊安全玄武實驗室的安全研究員馬卓。

戴眼鏡的漏洞

最初，騰訊安全研究員的核心是刷臉解鎖中的“活體檢測”，即在刷臉過程中，需要用戶看一眼才能解鎖。

于是馬卓專門研究了活體檢測中的眼睛掃描原理，最後發現：

活體檢測對人眼的處理，最終會抽象為黑色區域（人眼）上嵌上白點（虹膜）。

而如果用戶戴上眼鏡，人眼的處理方式就會發生變化，Face ID不再從“人眼”提取信息，活體檢測就存在空子可鑽。

于是騰訊安全研究員，基于這種空子，打造了一款眼鏡。

該眼鏡鏡片上貼有黑色膠帶，黑膠内又嵌有白色膠帶，成功仿造了人眼識别信息，最終成功解鎖熟睡用戶的iPhone，并進一步轉走他支付賬戶中的錢。

但即便如此，要實現類似對Face ID的攻破依然不容易，因為現實“作案”條件很難。

這個Face ID的用戶得處于“無意識”狀态，還不能在戴這副特殊眼鏡的過程中吵醒他。

所以，廣大iPhone用戶實際不用擔心，畢竟能符合“作案”條件的人，一般也不用如此大費周章搞副眼鏡才能轉走你的錢。

但出于安全攻防角度，騰訊安全的極客還是提供了一種可能攻擊的方式。

這也有利于業界更多關注活體識别潛在的缺陷。

馬卓也建議，生物識别公司可以為相機添加身份認證，并增加視頻和音頻綜合檢測的權重。

最後，再小小介紹一下此次閃耀美國極客大會的騰訊安全研究員：馬卓。

他是騰訊安全玄武實驗室的安全研究員，被稱為“亂入白帽黑客界的煉金術師”，目前主要從事嵌入式安全、固件逆向等方向的研究。

— 完 —

誠摯招聘

量子位正在招募編輯/記者，工作地點在北京中關村。期待有才氣、有熱情的同學加入我們！相關細節，請在量子位公衆号(QbitAI)對話界面，回複“招聘”兩個字。

量子位 QbitAI · 頭條号簽約作者

վ'ᴗ' ի 追蹤AI技術和産品新動态

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部