安全研究人员是否击败了Apple的面部识别系统?

在苹果iPhone X正式发布仅仅10天后,安全研究人员相信他们已经开发出一种方法来击败该设备的Face ID面部识别系统,该系统被认为是安全性的下一个重要步骤

在周末发布的博客文章和视频中越南安全公司Bkav的研究人员称,他们是第一个将iPhone X的新生物识别身份验证功能解锁到解锁状态的人

虽然这种方法尚未被其他专家复制或证实,但它确实代表了苹果公司的第一个明显的漏洞

希望成为一个防弹安全功能研究人员用来打败Apple下一代生物识别安全的方法显然是低技术Bkav的团队使用普遍可访问的材料来创建一个能够说服Face ID合法性的面具Bkav的Face ID-跳动面具照片:http:// wwwbkavcom / d / top-news / - / view_content / content / 103968 / face-id-beaten-by-mask-not-an-e ffective-security-measure面膜由3D打印的塑料制成,用于创建面部框架,硅胶用于新闻,2D纸张切出一个人的眼睛和嘴巴,化妆用于修饰 - 所有这些都使研究人员付出了代价大约150美元在Bkav发布的YouTube视频中,研究人员展示了面具在行动中该小组将面具安装在iPhone X前面,他们坐在支架上一旦公司的一名员工取出一块布覆盖面具,iPhone X解锁并允许访问,如果它识别所有者的脸那么示范,如果合法,将给Apple带来问题当面部生物识别身份验证方法首次在早期举行的事件中在舞台上显示时今年,Apple全球营销高级副总裁Phil Schiller发誓该功能无法上当“团队一直在努力确保Face ID不会像照片这样的东西轻易被欺骗s,“席勒说:”他们甚至已经和好莱坞的专业面具制造商和化妆师一起工作,以防止这些企图击败Face ID“苹果将IBT推荐到关于Face ID的知识库文章,但拒绝评论具体细节来自Bkav的研究Bkav发表的研究表明,所有这些测试可能都是徒劳无功 - 尽管有充分的理由对潜在的黑客行为持怀疑态度,尽管安全公司发布了一个问答,但仍有许多问题没有得到解答关于其研究的博客文章虽然Bkav展示了用于解锁设备的面具,但他们并没有透露出太多的细节

面具是面部识别人脸部的模型,还是他们只是简单地注册面具本身

做一个人的脸部尺寸的细节,或者这是否表明所有人需要的是一个人的眼睛和嘴唇的模板和打印件来欺骗传感器

新闻周刊将于12月6日至7日在纽约举行的资本市场会议上主持人工智能和数据科学图片:新闻周刊媒体集团然后问题是这次攻击实际上有多大可能影响到任何人Bkav的研究人员承认这种方法不太可能闯入一般人的设备是可行的相反,它需要更有针对性的努力,可能对一个高调的人

研究人员承认他们的技术需要详细测量或目标面部的数字扫描研究人员说他们使用手持设备扫描仪需要大约五分钟手动扫描他们的测试对象的面孔这使他们的欺骗方法在高度针对性的间谍领域,而不是大多数iPhone X所有者可能面临的那种普通的黑客攻击“时间和精力是参与创建愚弄Face ID识别软件的面具必须采用详细的尺寸来创建面具,以及安全公司al他们不得不在面具上使用特殊材料这一事实,“Paul Norris-欧洲,中东和非洲的安全公司Tripwire的高级系统工程师 - 国际商业时报确实,这个过程需要这种类型的人们期望从名人而不是普通人那里得到的曝光研究人员使用手持式扫描仪,需要将近五分钟的手动扫描测试对象的脸部,以创建人眼睛和嘴唇的高细节打印输出 这是一个不太可能从普通人的照片中获得的细节类型网络安全公司Imperva的首席技术官Terry Ray告诉IBT,“没有什么是百分之百的安全哪里有​​遗嘱,有办法问题是:有人会花多少钱,以及他们花多少钱来获取你的数据呢

“他说Bkav研究人员提出的攻击是”个别定制攻击“,必须分别针对每个受害者建立和执行,这意味着它只适用于针对特定个体的针对性攻击Ray还指出,攻击需要威胁演员窃取一个人的设备并以如此精确的方式创建掩码,以至于一个人不太可能成为这样一个计划的受害者Ray称之为“ “不可能的任务”风格攻击“值得注意的是,对于Bkav的演示工作,它必须避免触发iPhone X将提示的几种情况之一ta用户输入他们的密码而不是简单地从成功的面部ID扫描中解锁如果设备刚刚打开或重新启动,设备刚刚解锁超过48小时,iPhone X将要求其用户输入密码已经超过156小时通过密码解锁,超过4小时未通过面部识别码解锁,已收到远程锁定命令或尝试通过面部ID雷解锁五次失败尝试说Bkav的面具攻击工作时攻击者必须使用照片制作面具,偷走受害者的iPhone,希望它落在不需要密码的六天半的窗口内,确保它不会断电,并将其与所有网络隔离以防止远程锁定命令或其他尝试联系设备然后攻击者将在大约48小时的过程中进行五次尝试以使掩码工作,或者冒着被提示输入密码的风险Ray说“可以如果受害者使用六位数的字母数字代码,那就是“破解”这段时间“Tripwire的诺里斯描述了一个人能够成功执行攻击的情景”不太可能发生的一系列事件“,并质疑攻击是否真的是对普通iPhone X用户构成威胁的可能性Bkav的面具方法不太可能在野外用于解锁iPhone X,这有助于突出Face ID Josh Mayfield导演的一些潜在缺点

安全公司FireMon的产品营销部门告诉IBT,Face ID“从来没有打算成为强身份验证的安全措施”,而是一种让用户生活更简单的登录方法“围绕自动登录的炒作从凝视在一个人的电话是为了让用户轻松,而不是硬化安全,以防止未经授权的访问“梅菲尔德还说苹果的面部识别”寻求确认而不是确认“在验证au时ser“当你开始确认目标时,你会迅速挤出每个新变量以适应你想要的结果,”他说,并警告说这样的系统有时会抛出不正确的细节,而是专注于确认那些“机器让事情变得足够接近并使用概率来确认身份但是概率并不确定,”他说Ray of Imperva表示,Face ID让用户能够选择安全方面的便利性,但建议想要真正保护他们的用户使用密码的设备 - 至少在Face ID经过更严格的测试以证明它可以抵御Bkav所规定的攻击之后“出于安全[目的],最好的方法是使用字母数字非案例的六位或更多位密码敏感人物,“雷说:”对我们其他人来说,FACE ID可能就好了“

下一篇 投资者对消费者无人机的看法很高