隨著 AI 對智能手機(jī)的加持，人臉識別也已經(jīng)成為當(dāng)下智能手機(jī)的標(biāo)配；與指紋識別、字符密碼等傳統(tǒng)的智能手機(jī)解鎖模式相比，人臉識別功能顯得更加方便。但是，從隱私保護(hù)的層面，它未必會更加安全。

尤其是在 Android 設(shè)備上。

3D 打印頭型與人臉識別的較量

12 月 13 日，福布斯記者 Thomas Brewster 發(fā)布了一篇文章，介紹了自己的 3D 打印頭型如何成功騙過智能手機(jī)人臉識別的過程。

雷鋒網(wǎng)了解到，Thomas Brewster 是在英國伯明翰的一家名為 Backface 的公司完成這個過程的。他現(xiàn)在這家公司的裝配有 50 臺相機(jī)的影棚里拍攝了自己的頭像，并由此合成了一張完整的 3D 圖像，然后將該圖像導(dǎo)入到 3D 打印設(shè)備中，最終打印出了 3D 打印頭型。

當(dāng)然，這個頭型并不是完美的，隨后 Backface 公司又在未來幾天里對該頭型進(jìn)行了修飾——但前后的價格僅僅為 300 多歐元。

隨后，關(guān)于人臉識別安全性的測試正式開始。

Thomas Brewster 先用自己的真實(shí)人臉，在五臺智能手機(jī)上進(jìn)行了人臉識別注冊，這五臺智能手機(jī)包括 iPhone X、LG G7 ThinQ、三星 Galaxy S9、三星 Note 8 和一加 6。然后又用已經(jīng)打印出來的 3D 打印頭型對這五款手機(jī)的人臉識別功能進(jìn)行解鎖測試。

最終的結(jié)果是，所有參與測試的 Android 設(shè)備都被成功騙過（雖然有難度方面的差異），而 iPhone X 的表現(xiàn)無懈可擊。

人臉識別并不是第一解鎖選項(xiàng)

在 LG G7、一加 6、三星 S9 和 Note 8 上，人臉識別功能被成功騙過，這表明了它們在人臉識別方面的安全性還不夠；但從技術(shù)層面來說，它們本來和 iPhone X 的 3D 人臉識別系統(tǒng)就不是一個層面的東西。

對于前者來說，人臉識別是輔助型的生物識別解鎖工具，而對 iPhone X 而言，人臉識別是唯一的生物識別選項(xiàng)。

Thomas Brewster 表示，在初次使用 LG G7 進(jìn)行人臉錄入時，用戶會得到提醒，并被告知人臉識別是不太安全的備用項(xiàng)。不過，LG 方面額表示，在后續(xù)的使用過程中，人臉識別會得到更新，來提升穩(wěn)定性和安全性——但 PIN 碼和指紋識別是首選項(xiàng)。

三星 S9 也有類似的提醒。然而，在用戶初次設(shè)置這款手機(jī)時，就會被建議采用人臉識別和虹膜識別。當(dāng)然，在 3D 打印狀態(tài)下，虹膜識別顯然是不能通行的，但人臉識別就成功了，雖然也需要一些不同的角度和光線。

而在三星 Note 8 中，三星提供了一個“快速識別”選項(xiàng)，但這個選項(xiàng)比正常的人臉識別更不安全。三星在回應(yīng)稱表示，人臉識別是一個打開手機(jī)的便捷方式，有點(diǎn)像“滑動解鎖”，但是該公司提供了最高級別的生物驗(yàn)證系統(tǒng)——指紋或者虹膜——來解鎖手機(jī)、完成 Samsung Pay 支付或者打開安全文件夾。

一加 6 沒有上述關(guān)于安全性的提醒，而且在利用 3D 打印頭型解鎖的過程中，很快就成功了。一加對此回應(yīng)稱，面部解鎖是基于便利性打造的，建議用戶利用密碼、數(shù)字、指紋來保證安全性，同時人臉解鎖功能不會被應(yīng)用于銀行賬戶、支付等應(yīng)用中。

iPhone X 毫無懸念通過了測試，這是它在人臉識別相關(guān)的軟硬件方面的投入決定的；為了測試安全性，蘋果甚至與好萊塢影棚聯(lián)合打造了一個仿真面具來測試其安全性。基于這樣的安全級別，蘋果已經(jīng)在 iPhone X 及其后續(xù)產(chǎn)品中放棄了指紋識別，而采用面部識別作為支付安全工具。

另外，微軟的 Windows Hello 的人臉識別表現(xiàn)也不錯，它也成功地通過了測試；盡管 Thomas Brewster 并沒有表明它測試的是哪臺 Windows 設(shè)備。

雷鋒網(wǎng)總結(jié)

顯然，除了蘋果之外，眾多 Android 廠商在人臉識別方面的安全性方面，還有著很大的提升空間——迄今為止，大多數(shù) Android 手機(jī)廠商還不敢徹底拿掉指紋識別功能（雖然不少廠商已經(jīng)把指紋識別模塊放在了屏幕下方），但也有 Android 廠商（比如說綠廠的某 X）已經(jīng)采用前置的 3D 深度攝像頭模塊并支持支付功能，只不過不在本次的測試范圍中。

來自 NCC Group 的安全研究員 Matt Lewis 認(rèn)為，如果用戶擔(dān)心自己的設(shè)備被一個“假頭”破解，那么最好不要使用人臉識別，而選用 PIN 碼或者密碼，因?yàn)榛谏锾卣鞯慕怄i容易被以各種方式破解——只要破解者擁有足夠多的時間、資源和特定的攻擊對象。

不過，在雷鋒網(wǎng)看來，就算 300 多歐元不是一筆巨款，破解過程中所必須的 3D 打印技術(shù)也并非是隨隨便便就能夠用上的——換句話說，進(jìn)行這樣的一場人臉破解攻擊畢竟是一件成本不低的事情。Thomas Brewster 的這個測試足以證明 Android 人臉識別不夠安全，但并沒有證明破解它們有多么容易，尤其是對普通人而言。

所以，最后的問題來了，讀了這篇文章之后，你還會使用手機(jī)上的人臉識別來解鎖嗎？

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。