研究人員展示用眼鏡和膠帶繞過“無意識”受害者iPhone的Face ID的方法
據外媒Macrumors報導,在拉斯維加斯舉行的美國黑帽大會期間,研究人員演示了一種繞過Face ID的方法,該方法使用眼鏡和膠帶解鎖並滲透到“無意識”受害者的iPhone中。根據Threatpost的報告,來自騰訊的研究人員旨在“騙過”生物識別中的“活體”檢測功能,這意味著區分人們的“真實”和“虛假”特徵。
研究人員表示,“活體”檢測會檢測背景噪音和反應失真或聚焦模糊,從而確保臉部是否是真實。這種“活體”檢測由Face ID使用,蘋果甚至還推出“注意力察覺”功能,可確保用戶的iPhone無法解鎖,除非用戶看著屏幕。
為了欺騙Face ID,研究人員製作了原型眼鏡,鏡片上有黑色膠帶,黑色膠帶內有白色膠帶,以模仿眼睛的外觀。當把眼鏡放在睡覺的受害者的臉上時,他們能夠訪問他的iPhone並通過移動支付應用程序向他們自己轉賬。
這種方法很有效,因為研究人員發現,活體檢測與眼鏡的工作方式不同,並且在佩戴眼鏡時基本上不會從眼部區域提取3D信息。
他們發現,用於活體檢測的眼睛抽象會使黑色區域(眼睛)上有一個白點(虹膜)。並且,他們發現如果用戶戴眼鏡時,活體檢測掃描眼睛的方式會發生變化。
“經過我們的研究,我們在FaceID中發現了弱點…它允許用戶在戴眼鏡時解鎖……如果你戴著眼鏡,當它識別眼鏡時,它不會從眼部區域提取3D信息。”
試圖在現實世界中使用這種方法的攻擊者需要受害者處於睡眠或“無意識”狀態,訪問該受害者的iPhone,然後需要將眼鏡放在眼睛上而不會喚醒該人。值得注意的是,這不是大多數人可能遇到的情況,而且這次所謂的方法也沒有二次研究。
為了減輕未來的眼睛檢測漏洞,研究人員建議生物識別製造商為原生相機添加身份驗證,並“增加視頻和音頻合成檢測的比重”。