面部识别已经随处可见,从购物中心到工作场所,总会有设备在扫描你的面部。但是,智能手机上的面部识别不应侵犯你的隐私,而应该保护你的数字生活免受窥探。
不过,如果你是Android用户,请立即远离屏幕。我们用四款最热门的Android和iOS手机,测试它们被攻破的难易程度。当使用3D打印的头部时,我们“骗过”了所有的Android手机,而苹果手机则没有。
真假难辨
这些头部是在英国伯明翰的Backface打印出来的。当我进入了一个包含50个摄像机的圆顶式工作室时,它们结合在一起构成了一个完整的3D图像,然后将该图像加载到编辑软件中,修正出现的错误。
在测试中,我们使用自己的真实头部来注册五部手机的面部识别:一台iPhone X和四款Android设备:一台LG G7 ThinQ、一台三星S9、一台三星Note 8和一台一加6。随后,我戴上假头,看看设备是否会解锁。所有的四款Android手机都可以被假头解锁,只是存在不同的难易程度,而iPhone X是唯一一款没有被愚弄的设备。
四款Android设备面对黑客攻击所表现出的安全性存在一些差异。例如,当第一次打开一个全新的G7时,LG实际上会警告用户不要打开面部识别:“脸部识别是一种辅助解锁方法,会导致你的手机安全性降低。”并指出相似的面部可以解锁手机。在最初的测试中,3D打印假头直接解锁了手机。
然而在拍摄过程中,似乎LG已经通过改进的面部识别进行了更新,使得解锁变得更加困难。LG发言人表示:“面部识别功能可以通过第二个识别步骤和LG通过设置建议的高级识别来进行提升。LG不断寻求通过更新设备稳定性和安全性,来定期提升手机。”他们补充说,面部识别被视为相对于PIN或指纹的“辅助解锁功能”。
在注册时,三星S9也有类似的警告。“你的手机可能会被一个看起来像你的人解锁,”它指出。“如果你只使用面部识别,安全性将比使用图案模式、PIN或密码低。”但奇怪的是,在设置设备时,第一个解锁选项是面部和虹膜识别。尽管虹膜识别没有被假头所欺骗,但是面部识别仍然被攻破了。
Note 8具有打开“更快识别”的功能,这一制造商自己的准入选项并没有慢速选项安全。当然,这在测试中都是无关紧要的,因为在两种设置下都可以解锁,不过使用较慢的选项确实需要更多的光线和角度。S9和LG的较慢版本也是如此,后者也被证明更难以攻破。(三星发言人表示:“面部识别是一种打开手机的便捷操作,类似于“轻扫解锁”操作。我们提供最高级别的生物识别身份验证——指纹和虹膜,来帮助锁定你的手机,并验证对Samsung Pay或安全文件夹的访问权限。”)
一加6既没有其他Android手机的警告,也没有更慢但更安全的识别选项。此外,尽管在注册面部时会出现科幻风格的面部扫描程序,但当假头出现时,手机会被立即解锁。毫无疑问,它是我们所测试的设备中最不安全的。
一加发言人表示:“我们围绕便利性设计了Face Unlock,虽然我们采取了相应的措施来优化其安全性,但我们始终建议你使用密码/PIN/指纹来确保安全。因此,我们未对任何安全应用,如银行业务或支付服务,启用Face Unlock功能。我们一直在努力改进所有技术,包括Face Unlock。”
iPhone X通过测试并不是依靠运气,而是实打实的实力。苹果对这项技术进行了投资,并与好莱坞工作室合作创造逼真的面具来测试其面部识别。这项投资显然得到了回报。想要用模型来解锁iPhone X是不可能的。
微软似乎也做得很好。全新的Windows Hello面部识别也没有接受假头的验证。
所以令人惊讶的是,世界上最有价值的两家公司提供了最好的安全性。
用你的头,而不是你的脸
如果担心自己的设备可能会被欺骗,或许你应该考虑不使用面部识别。网络安全承包商NCC Group的研究主管Matt Lewis推荐用户还是使用强大的字母数字密码。
“我们还是应该专注于PIN和密码,”他补充道。“任何生物识别技术事实上都是可以被复制的。只要有足够的时间、资源和目标,都可以尝试和欺骗这些生物识别技术。”