在拉斯维加斯举行的美国黑帽大会期间,研究人员演示了一种绕过Face ID的方法,该方法使用眼镜和胶带解锁并渗透到“无意识”受害者的iPhone中。 根据Threatpost的报告,来自腾讯的研究人员旨在“骗过”生物识别中的“活体”检测功能,这意味着区分人们的“真实”和“虚假”特征。
研究人员表示,“活体”检测会检测背景噪音和反应失真或聚焦模糊,从而确保脸部是否是真实。这种“活体”检测由Face ID使用,苹果甚至还推出“注意力察觉”功能,可确保用户的iPhone无法解锁,除非用户看着屏幕。
为了欺骗Face ID,研究人员制作了原型眼镜,镜片上有黑色胶带,黑色胶带内有白色胶带,以模仿眼睛的外观。当把眼镜放在睡觉的受害者的脸上时,他们能够访问他的iPhone并通过移动支付应用程序向他们自己转账。-iphone
这种方法很有效,因为研究人员发现,活体检测与眼镜的工作方式不同,并且在佩戴眼镜时基本上不会从眼部区域提取3D信息。
他们发现,用于活体检测的眼睛抽象会使黑色区域(眼睛)上有一个白点(虹膜)。并且,他们发现如果用户戴眼镜时,活体检测扫描眼睛的方式会发生变化。
“经过我们的研究,我们在FaceID中发现了弱点...它允许用户在戴眼镜时解锁......如果你戴着眼镜,当它识别眼镜时,它不会从眼部区域提取3D信息。”
试图在现实世界中使用这种方法的攻击者需要受害者处于睡眠或“无意识”状态,访问该受害者的iPhone,然后需要将眼镜放在眼睛上而不会唤醒该人。值得注意的是,这不是大多数人可能遇到的情况,而且这次所谓的方法也没有二次研究。-iPhone
为了减轻未来的眼睛检测漏洞,研究人员建议生物识别制造商为原生相机添加身份验证,并“增加视频和音频合成检测的比重”。