iphone X：别点，要脸

这些天，小伙伴们购买的X应该陆续快到了

但如果俺要告诉你，在你的手机还没有拿到手上的时候， 你的iphone X就已经不安全了！你会不会揍俺……

研究人员用几天的时间，花费150美元打印了一个3D人脸面具，然后成功破解了苹果的Face ID安全系统。

莫慌莫慌，听不懂是正常的，俺也听不懂，这不还有俺们村隔壁老王呢吗~

老王说，聊到这个就不得不提目前智能手机上较为顶尖的两种生物识别系统，一种是虹膜识别，另一种是面部识别。

老王把自己的显示屏关了，喝了口水又慢慢的说，所谓虹膜识别就是基于人眼中位于黑色瞳孔和白色巩膜之间的圆环状部分（虹膜）进行的识别；而人脸识别则是基于人的脸部特征信息进行身份识别。

这两种生物识别技术目前分别被应用在了三星Galaxy S8和iphone X上

三星S8—虹膜识别

今年年初，三星Galaxy S8手机未能应付“简单的照片攻击”，从而未能保障所部署的虹膜和面部识别系统的安全。

老王跟我说三星S8虹膜识别被破解只用两步：

①    需要一部数码相机并开启夜间模式，在大约5米开外的地方，调整变焦拍一张持有者眼睛的照片

②    将照片打印出来，再把隐形眼镜贴到眼球的位置

然后就可以轻松解锁了

俺说，那这号称21世纪最具发展前途的的生物识别方案岂不是纸老虎？

老王解释道，这看似简单的两步，其实很难实现。其中最困难的就是这张“特殊照片”。拍摄应用于虹膜识别的照片，不仅对分辨率有高要求，而且还需要特殊的夜视照相机或者去除红外滤光片的相机。这是因为虹膜检测时会用近红外光进行“补光”，虹膜中的血色素会对其吸收从而显示更加清晰的纹理，而用于打印的染料并不具备这个特性，因此普通拍摄的高清照片暂时还不能用在虹膜识别上。

俺懂了，这么一看实现起来还是很困难的。如果真的想实现的话

①   首先需要可以捕捉红外光的相机（目前市场已经没有）

②   然后对机主的虹膜进行高分辨捕捉

③   偷取他的手机

④   再用特殊的打印方式打印出来

最后借助隐形眼镜尝试解锁

http://mmbiz.qpic.cn/mmbiz_gif/Ok4fxxCpBb7tbsA9S8ZH6w33YrLEbGhRwiaZ2KwZ9G2DmOFDrXhffnyuKBVVTxshJBUQb08Q63Wf0YsyScb38Tg/0?wx_fmt=gif

iphone X—人脸识别

http://mmbiz.qpic.cn/mmbiz_gif/Ok4fxxCpBb7tbsA9S8ZH6w33YrLEbGhRwiaZ2KwZ9G2DmOFDrXhffnyuKBVVTxshJBUQb08Q63Wf0YsyScb38Tg/0?wx_fmt=gif

俺不禁又有了新的担心,那如果s8不能应付“照片攻击”的话，最新出来的iphone X可以应对吗？今年315上出现的破解人脸识别的情况会不会再次出现？

老王说

苹果之所以在iphone X取消了Touch ID而采用新的身份认证方式Face ID一定是确定了它有很高的安全性的。在之前，一些黑客也曾尝试通过照骗和硅胶面具等方式去攻破Face ID，均未获得成功。

为何苹果的Face ID可以经受的住照骗的考验呢？与已经屡见不鲜的传统人脸识别技术相比，苹果在Face ID的人脸识别中加入了深度信息的技术。

Face ID的实现靠的是iPhone X顶部一小块没被屏幕覆盖的区域。这一小块区域集成了多达八个组件，除了麦克风、扬声器、前置摄像头、环境光传感器、距离感应器等我们熟知的部分，还集成了红外镜头、泛光感应元件（Flood illuminator）、点阵投影器。

这些组件聚合起来，苹果其称之为原深感摄像头（TrueDepth Camera System），而整个系统除了能用于Face ID人脸验证，也可以扩展自拍功能，实现动画表情发布，和AR效果叠加。

简单的来说，深度信息技术在Face ID的认证过程中分为以下两个步骤

①   在注册时，点阵投影仪会投射3万多个点在人脸上，从而形成一张3D人脸图，并存储在A11芯片上

②   使用时，泛光感应元件会打一道看不见的光在人的脸上（这样在黑暗中也可以识别人脸），读取用户的脸部3D几何结构图，并将它与存储在A11芯片隔区内的数据进行对比，如果两者一致，iPhone X就会解锁

俺懂了，简单地说就是苹果加入的深度信息技术使得传统的2D图片无法再欺骗苹果的3D人脸识别技术。

老王蔑视一笑，你又懂了，不过你这样理解也差不多。这就是为什么之前的黑客不能通过照片和硅胶面具拿下苹果的FaceID系统。

俺说，不对啊，我看最开始的视频不是成功破解了吗？这种面具和你说的硅胶面具有什么区别呢？

这个说起来就比较复杂了，这个视频中的研究人员来自越南网络安全公司Bkav，这家公司也不简单，在2009年就绕过了首批由华硕、联想、东芝等笔记本电脑部署的面部识别系统，而使用的不过是一张简单的照片。

为了制造面具，他们并不是仅使用一种材质如硅胶，而是融合了不同的技术。他们基于机主的数字照片通过3D打印创建了一个准确的面部模型，将硅胶鼻子粘到脸上，并且将机主3D模型的眼睛和嘴巴的2D图片粘贴到面具上。最开始，他们的尝试失败了，不过后来通过跟艺术家讨论，对硅胶鼻子进行了修改，使得鼻子的某些部分显示为棕色的而非白色。

老王老王，我看图片中的人脸模型除了眼睛、嘴巴、鼻子外怎么都是白色的呢，这样能验证成功Face ID吗？

其实Bkav公司研究人员并未像其他人员那样重新造一个精确的机主的面具，而是着力于那些在真实验证流程中需要被验证的特征，就是机主的眼睛、鼻子、嘴巴、脸型以及放松的神情。

扫戴斯乃~学到了，但是这样的话俺的iphone X岂不是很危险？

too young too simple too naive，抛开设计软件和制作机器不说，单单制作过程就花费了大概一星期的时间，而材质费用是150美元。实现上来讲他们需要先盗取你的手机，并想办法获得你的高精度3d面部模型。

从这些条件综合来看，攻击针对的目标不太可能是普通用户，而是那些高价值人群，如亿万富翁、政府官员、情报特工、首席执行官等的手机。而你，啧啧啧~就算你丢了手机，你不是还可以通过定位等方式找回手机或者立即更换重要密码来降低损失吗？话说你假装有iphone X的操作真的弱爆了。

老王嘲讽完之后又打开屏幕继续去敲击他的代码

---

在触屏智能手机时代到来后，无论是从最开始的密码解锁、图案解锁，再到目前已经开始普及到千元手机的指纹解锁，还是目前最先进的人脸识别技术、虹膜识别技术。人们总是在享受科技带来便捷的同时又在担心其中可能存在的安全性，而科技的发展总是伴随着人们的质疑，但也正是这些质疑声促使着科技不断的强大。

在这些最新技术的背后，总是有一群默默无闻的安全工作者，正是他们，一直在用自己最尖锐的矛去设法洞穿自己铸起的盾，使这盾每被洞穿一次，便重铸一次。也许他们永远都铸不起最牢固的盾，但他们却从未停止。

感恩节，感谢每一位安全客，让我们的生活更安全。

来源 安全客