日前舉行的 Black Hat 資訊安全會議當中,有研究者示範利用一種全新方法來騙過 Face ID 人臉辨識系統,他所用到的只是一副眼鏡,還有兩張貼紙。
根據《ThreatPost》報道,Face ID 其中一個缺陷是當用戶佩戴眼鏡,它不能完全正確檢測眼部周邊的 3D 資訊,只能偵測到一副眼鏡。此脆弱性是一名中國騰訊的研究者發現。
研究者旨在欺騙生物辨識技術背後的「活體檢測」(liveness detection)功能,這個功能是靠檢測背景噪音與反應失真或焦點模糊,從而確保人臉是真的。研究者開發了一副所謂「X-glasses」眼鏡,分別在眼鏡的左右眼貼上一張黑色膠紙,然後在兩張黑色膠紙上再貼上一小塊白色膠紙。他們研究了「活體檢測」如何去掃描用戶的眼睛,發現在用戶佩戴眼鏡時,不會從眼睛區域提取 3D 訊息。
研究學者利用了這副「X-glasses」,通過了 Face ID 的「活體檢測」過程,並成功登入了一部示範手機。
研究者建議為解決眼睛檢測所帶來的漏洞,生物辨識製造商可以為相機加入身份認證,加入結合音訊與視訊的合成檢測方式。
資料來源:ThreatPost