研究人員使用帶膠帶的眼鏡繞過Apple FaceID

在一組安全研究人員暴露了使用普通眼鏡和兩種顏色的膠帶的FaceID面部識(shí)別系統(tǒng)存在的漏洞之后，沉重的睡眠者可能不應(yīng)該將iPhone留在身邊。

在2019年美國黑帽大會(huì)上名為``威脅下的生物特征認(rèn)證：活動(dòng)性檢測黑客''的會(huì)議上，來自騰訊的研究人員展示了如何利用FaceID中的特定漏洞。

生命檢測是生物識(shí)別過程的一部分，該過程將真實(shí)的面部特征與假的面部特征區(qū)分開。該過程的一部分是確定一個(gè)人是睜著眼睛醒著還是閉著眼睛睡著。如果未檢測到虹膜和瞳孔，則設(shè)備不會(huì)解鎖。

同時(shí)，蘋果公司的面部識(shí)別系統(tǒng)允許iPhone用戶即使戴著眼鏡也可以解鎖設(shè)備。但是，一旦FaceID檢測到眼鏡，它將跳過從眼睛區(qū)域提取信息的過程。

結(jié)合這兩個(gè)功能，騰訊研究人員找到了一種繞過 FaceID 的方法，方法是在每個(gè)鏡頭的中心粘貼黑色膠帶，然后在每個(gè)黑色膠帶的中間粘貼白色膠帶。黑色膠帶和白色膠帶分別代表虹膜和瞳孔。

一旦受害者戴上了眼鏡，將iPhone舉到臉上就會(huì)欺騙FaceID并解鎖設(shè)備，從而使攻擊者可以訪問。

普通的iPhone所有者不必?fù)?dān)心FaceID漏洞，因?yàn)橐诓恍褋淼那闆r下將眼鏡戴在睡覺的人上很難。但是，當(dāng)受害者失去知覺時(shí)，此漏洞利用將很有效，這可能比未鎖定的iPhone產(chǎn)生更多的警報(bào)。

騰訊研究人員提出的方法類似于具有令人困惑的面部識(shí)別系統(tǒng)的對(duì)抗眼鏡。還有其他欺騙該技術(shù)的方法，例如鑲有LED 的棒球帽和面具的混搭，但到目前為止，帶膠魔術(shù)的眼鏡似乎是最容易拿下的。

蘋果公司本身在黑帽大會(huì)上宣布了一項(xiàng)擴(kuò)展的漏洞賞金計(jì)劃，該計(jì)劃將向能夠發(fā)現(xiàn)“具有持久性的零點(diǎn)擊全鏈內(nèi)核執(zhí)行攻擊”的研究人員支付100萬美元。