只有iPhone X擋住了!3D列印頭像成功騙過多款Android手機臉部解鎖
▲生物辨識的保護能力的確比字符密碼來得弱。(圖/ETtoday示意圖)
臉部辨識目前已隨處可見,從購物中心到工作場所,但臉部辨識真的安全嗎?富比士雜誌(Forbes)資安記者Thomas Brewster日前與英國3D掃描列印業者Backface合作,利用3D列印出自己的頭像,並測試多款智慧型手機的臉部解鎖功能,結果所有Android手機全都被假頭騙過,僅有iPhone X成功擋住了。
Thomas Brewster撰文指出,他測試了5款智慧型手機,分別爲蘋果iPhone X、LG G7 ThinQ、Samsung S9、Samsung Note 8及OnePlus 6,想看看這些人臉辨識有多麼容易被破解。他先以自己的真實臉部來註冊這5款智慧型手機的臉部辨識,接着在透過那顆3D列印的假頭來解鎖,結果顯示,4款Android手機通通被騙過,雖然每支手機解鎖的輕鬆程度不同,但僅有iPhone X並未被愚弄成功。
事實上,無論是LG或三星都曾警告使用者,臉部解鎖的安全性比不上密碼、PIN碼或圖形解鎖,它僅是一個相對快速、方便的解鎖機制,最好只將其視爲PIN碼或指紋解鎖的「輔助解鎖功能」。在註冊三星S9的臉部辨識時,該機款還會警告使用者,「可能會被長得像你的人解鎖」,若要限制Samsung Pay或Secure Folder等服務的存取,最好使用更安全的指紋或虹膜辨識。
至於OnePlus 6則並未與其他Android手機一樣跳出警告,也沒有提供更安全的選擇來進行識別。而且,儘管該機款在進行臉部識別時有一些科幻風格的動畫,但OnePlus 6是所有Android手機中最快被假頭騙過的手機,是所有測試機款中最不安全的。
事實上,生物辨識的保護能力的確比字符密碼來得弱,網絡安全承包商NCC Group的研究主管Matt Lewis表示,任何生物辨識技術事實上都是可以被複制的,任何只要有足夠時間、資源及目標的人都可以嘗試欺騙這些生物辨識技術。相較於指紋或人臉辨識,6位數密碼可能還是最安全的認證機制,猜對4位數密碼的機率爲1萬分之一,但猜對6位數密碼的機率爲100萬分之一,而且猜錯3次就會被鎖住。