原标题:苹果Face ID被破解,安全性不敢恭维啊!
8月3,2019年黑帽网络安全美国大会(Black Hat USA 2019)在拉斯维加斯成功举行,作为全球领先的信息安全大会,Black Hat已经步入了第22个年头,每年大会上都会针对当下热点网络安全趋势进行研讨,而在大会上出现的技术也常常成为引领和推动未来网络安全发展的抓手和助力。这其中“身份验证安全与提权”也是重点之一。
在大会上,“身份验证安全与提权”这项目备受关注。大会上有来自不同团队的专家对涉及破坏身份验证并进行提权的情形从各个角度进行讲解。比如来自Micro Focus Fortify的Alvaro Munoz和Oleksandr Mirosh深入研究威胁单点登录安全性的主要漏洞。来自Preempt的Marina Simakov和Yaron Zinar展示在Active Directory中发现的几个新漏洞,包括一个尚未公布的零日漏洞,能够让攻击者能够接管域中的任何设备。
最值得一提的是,来自腾讯安全团队的Yu Chen和Bin Ma带来绕过现有生物识别安全解决方案的新思路分享,包括支付软件使用的面部和声纹识别漏洞。而就是在这个讲解内容中,腾讯研究人员利用一副镜片上带有胶带的眼镜,顺利骗过了苹果的Face ID识别系统,这真是让会上所有人员震惊。而对于苹果手机用户,安全性在哪呢?
据悉,这种破解方法是利用了苹果Face ID生物识别技术背后的“活体检测”功能,通过检测背景噪音、响应失真等事件来识别“真假”面部特征。但实际上,这种“活体检测”并不能确认解锁时设备所有人的实测数据是否已经过本人授权。资料显示,在安全性方面,Touch ID的安全性为1/50,000,Face ID的安全性达为一百万分之一。
而居腾讯安全研究员马卓表示,活体检测在对用户眼部进行识别时,将其抽象化处理成黑区+白点的形式来模拟眼镜和虹膜,而Face ID的弱点在于,它允许用户带着眼镜解锁。在用户佩戴眼镜时,检测的方式也会发生变化,系统会自动跳过对眼部区域3D信息的提取,因此仅利用胶带和眼镜便可以顺利解锁。研究人员称,伪造的数据可以窃取用户的设备指纹,制造虚假音频,甚至转移钱财。但这种破解苹果人脸识别的方法有条件限制。
首先需要在镜片上放置剪裁好的胶带,其次苹果设备所有人需要处于无意识状态,最后不法分子需要将眼镜带在受害者脸上,完成人脸识别。虽然所需材料很简单,但实际完成整个过程并不是十分容易,尤其是需要保证受害者完全失去意识。设备所有人若能够在公共场所或陌生人面前随时提高警惕,也可有效防止这类侵权事件的发生。
资料显示,2017年9月13日,苹果召开发布会,发布的iPhone X支持Face ID登录解锁功能。也就是说,Face ID其实是iPhone X用于替代Touch ID而推出的刷脸认证方式,其搭载环境光传感器、距离感应器,还集成了红外镜头、泛光感应元件(flood camera)和点阵投影器,多种配置共同搭建用户3D 脸部模型。
而苹果Face ID工作原理其实很简单,首先是Face ID的录入动画,当Face ID在录入过程中识别到人脸时,会从灰色笑脸酷炫变身成蓝色笑脸;其次是录入方式,根据iOS 11的提示,你必须随在iPhone前上下左右环视一周,才能完成脸部信息录入的工作;最后是Face ID的设置界面,也透露出了更多的内容,Face ID不仅可以解锁iPhone,甚至能代替密码在iTunes和App Store购物!这已经完全替代了指纹识别Touch ID的工作。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 消息称塔塔集团将收购和硕印度iPhone代工厂60%股份 并接管日常运营
- 苹果揭秘自研芯片成功之道:领先技术与 整合是关键
- 英伟达新一代Blackwell GPU面临过热挑战,交付延期引发市场关注
- 马斯克能否成为 AI 部部长?硅谷与白宫的联系日益紧密
- 余承东:Mate70将在26号发布,意外泄露引发关注
- 无人机“黑科技”亮相航展:全球首台低空重力测量系统引关注
- 赛力斯发布声明:未与任何伙伴联合开展人形机器人合作
- 赛力斯触及涨停,汽车整车股盘初强势拉升
- 特斯拉首次聘请品牌大使:韩国奥运射击选手金艺智
- 华为研发中心入驻上海青浦致小镇房租大涨,带动周边租房市场热潮
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。