Face ID爆出新漏洞 “假”眼镜可骗过人脸生物识别

据媒体报道，今年在拉斯维加斯举行的美国黑帽大会上，有研究人员展示了一种可以绕过Face ID人脸识别的方法：使用一款稍作加工的假眼镜就可以解锁iPhone。

在演示中，研究人员给测试者戴上一款镜片被涂黑，中间画着白圆点（用来模仿眼球）的假眼镜，以此营造出一个测试者睡觉时被戴上眼镜的场景，随后使用测试者的手机，进行面部识别便可以进入他的iPhone，还能通过移动支付应用程序给其他人汇款。

Face ID的技术资料显示，该技术具有活体检测功能，从而确保人脸是真实的而不是面具。Face ID人脸识别除了使用这种活性检测功能，苹果公司还加入了“注视感知”功能，可以确保只有人睁开眼睛盯着iPhone看它才会解锁，这个设计就是为了防止用户在睡觉时被他人盗刷手机。

“我们的研究发现Face ID的bug在于，它允许用户戴眼镜解锁，当用户戴着眼镜进行面部识别时，Face ID识别出用户戴眼镜后，就不会从眼框区域提取3D信息。”研究人员就是利用这点设计了这款假眼镜来骗过“注视感知”功能。研究人员认为，如果针对正在睡觉或失去知觉的受害者，在不吵醒他的情况下将眼镜戴上，理论上是有可能解锁他的iPhone的。

一位安全方面的资深专家向财经网表示，从目前的面部识别技术来看，iPhone采用的Face ID还属于较为安全的一种，iPhone设备上生物特征支付：Face ID，它是基于iPhone手机本地的安全校验，Face ID、指纹是存储本地安全芯片中，能够保证不被第三方应用读取，它负责生物特征校验，不会向第三方厂商上传数据。但是这次安全bug也体现了Face ID在技术上的缺陷。

生物识别验证支付流程

此外，该安全专家还指出，在没有Face ID的手机上，如低版本iPhone和Android手机上，支付宝上会有“支付宝刷脸付”，这一套业务逻辑是支付宝自己做的，需要将用户脸部特征信息上传服务器端进行校验，并下发校验结果，这个业务规则在支付宝生物识别通用规则中也有体现，这个校验基于支付宝服务器端的校验逻辑，需要用户将面容信息上传。

安全专家提醒用户，虽然支付宝刷脸付、到店付等功能比较方便，但毕竟需要将面容信息上传服务器端，用户个人生物特征就会被第三方平台收集，这也造成个人信息泄露的可能。