蘋果iPhone X FaceID刷屏，被破解的可能性到底有多大？

上周蘋果iPhone X推出的FaceID最近刷屏，到底是否安全可靠？在追求硬體完美的同時，蘋果似乎無法迴避便捷性和安全性之間的取捨。

蘋果公司在最新旗艦產品iPhone X中用FaceID替代了TouchID解鎖。FaceID是一個用人臉作為密碼的系統，這也是對面部識別這個未經證實的生物識別安全技術的最大規模的實踐測試。

理論上來說，採用FaceID，只需要你看一眼你的手機，它就會在一秒鐘內完成識別和解鎖。 FaceID也將被用於鎖屏以外的場景，比如在使用Apple Pay下載新應用時進行身份驗證。

蘋果公司高級副總裁Phil Schiller在上周的發布會中說，「有了iPhone X，你的手機在識別出你的面孔時自動解鎖，沒有什麼比這更簡單、自然和輕鬆的方式了。這就是未來智能手機對安全和隱私的保護方式。」

儘管如此，FaceID將人臉作為智能手機的唯一密碼也難免有風險。

「變臉」(Face Off)的風險

其實面部識別一直是一個很容易破解的安全模式。在2009年，美國安全研究人員表示，他們可以用照片騙過很多筆記本電腦的面部識別登錄系統。2015年，科普作家丹·莫倫(Dan Moren)使用自己眨眼的視頻騙過了阿里巴巴的面部識別系統。

當然，破解蘋果採用的3維FaceID不會那麼簡單。新的iPhone採用TrueDepth的紅外線系統，它將30,000個不可見光點的網格投射到用戶的臉上。隨著用戶轉動頭部，紅外攝像機通過捕捉光點網格的變形來映射出面部的三維結構，這和電影中製作面部特效的技術類似。

人臉的三維結構識別顯然比此前的二維圖像識別更安全，不過Cloudflare的安全研究員Marc Rogers表示，騙過這一系統也並非不可能。他也是首批通過偽造指紋騙過TouchID的研究人員之一。

Rogers表示，一定會有人能破解FaceID。他認為，通過3D列印用戶的頭部可能就有可能騙過FaceID。如果有人能重構你的面部結構並播放給識別系統，那麼可能就會帶來很大的麻煩。」

三維面部識別系統的確曾被破解。兩年前，柏林的SR實驗室使用石膏模具，騙過了微軟的Hello面部識別系統。該系統已經在多個品牌的筆記本電腦中應用，它使用的是與FaceID同類型的紅外深度感應攝像機。

該組織沒有公布其模具使用的材料，不過SR Labs的創始人Karsten Nohl指出，它不僅模仿了攻擊目標的臉部形狀，還模仿了皮膚的光反射性質。 Nohl表示：「這絕對比欺騙指紋識別更難。」

在蘋果公司的發布會上，Schiller表示，即使是這樣的招數也不會對FaceID產生影響。他展示了一個由好萊塢特效顧問創建的3維面具的照片，蘋果做過大量安全測試。不過，Schiller並沒有明確表示是否曾有面具騙過了這個系統。

目前，FaceID安全性的終極問題依然沒有答案，可能只有蘋果公司以外的測試者，比如Rogers或Nohl等人，進行公開測試以後，我們才知道FaceID系統到底有多安全。例如，蘋果可能在面部識別方案中使用基於顏色的圖像識別，這就使得任何黑他的模型都需要精心上色。

但是Rogers說，FaceID可能根本不會實際測量顏色，因為顏色會受到室內照明、健康狀況以及皮膚可能被晒傷等等因素的影響。Rogers認為，加入顏色並沒有很大的價值，反而有很大的不確定性。

更多的擔憂

與密碼不同，人臉不容易改變。有人一旦找到破解方式 — 像SR Labs的方法或Rogers的3D列印方案 — 他們就能一直用這種方法欺騙下去。

Schiller在其主題演講中也承認，如果是長相相同的雙胞胎，在使用面部識別安全系統的時候可能就要考慮是否彼此信任了。

其次，如果有人想要強迫他人解鎖手機，比如警察或海關人員逮捕扣押嫌疑人的時候，面部識別解鎖可能會帶來問題。通常，美國的犯罪嫌疑人可以援引第五修正案賦予，行使保持沉默的權利，拒絕交出手機密碼。同樣的保護不適用於嫌疑人的臉。既然只需要直視手機屏幕就可以解鎖FaceID，那麼警察略施計策就有可能實現解鎖。

當然，這兩個問題TouchID也同樣存在·。但FaceID更嚴重的問題在於，使用FaceID就相當於把密碼寫在了臉上，公之於眾，而且這個密碼在社交媒體上還處處可尋。

去年北卡羅來納大學的研究人員表示，他們僅僅使用Facebook照片就能重構一個人臉的三維虛擬模型，並騙過了五個不同的人臉識別系統，成功率在55％到85％之間。

長期專註於研究蘋果產品的安全分析師Rich Mogull也指出，對於普通iPhone用戶來說，破解FaceID的難度和成本非常高。因此，對於絕大多數人來說，FaceID的安全風險是可以接受的。

但是，那些對安全性極度敏感的人應該禁用FaceID和TouchID。「如果我是情報人員，我不會使用任何生物特徵識別系統。」 他說。

當然，這個警告並不是非黑即白。由於您可以為特定應用啟用或禁用FaceID，所以Rogers建議，謹慎的用戶可以選擇使用FaceID來解鎖手機，但不用於付款。

Schiller在周二的演講中表示，沒有什麼系統是完美的，iPhone X的FaceID被隨機破解的概率是一百萬分之一。不過這是指隨機選擇面孔的情況，而不是別有用心精心設計來模仿某個特定用戶外貌的情況。

其實，iOS 11系統中的兩個要求說明蘋果公司了解FaceID的局限。一個要求是用戶須輸入手機密碼來連接新的的電腦，另一個設定是在「SOS模式」下用戶可按住home或電源按鈕五次來取消TouchID或FaceID。

最後，Rogers警告說，iPhone用戶不應該因為FaceID看起來精巧好用，就忘記了它是一種為了便捷而對於安全性的妥協。他說，「蘋果總是希望其用戶有更愉快的體驗，而這就意味著有時不得不犧牲安全性。」

- 本文源於Wired, by Andy Greenberg

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！