Android的面部识别有多安全?

信息安全 验证 移动的 安卓 生物识别 手机
2021-08-16 19:01:26

Android 支持使用面部识别来解锁您的手机。这种机制有多安全?

例如,如果有人有一张质量很好的你的脸,他们可以通过把照片举到手机上来打败面部识别方案吗?Android 机制是否包括任何测试“活跃度”的方法(即,有一个活生生的人在场,而不仅仅是一张人的照片)?

我记得看到一个臀部会话谈话描述了对 Android 面部识别解锁的攻击。攻击通过启动用户面部照片来起作用。然后他们制作了一张图片的副本并使用 Paint 对其进行修改,使用户的眼睛看起来像是闭着的(通过在眼睛上绘制肤色以模拟眼睑闭合)。最后,他们将这些图像显示在计算机屏幕上,按照设计为看起来人在眨眼的顺序交替显示这些图像,并将手机指向计算机屏幕。如果我理解正确,这是为了击败一些活跃度测试(手机根据眨眼检测活跃度)。演讲者声称这次攻击有效,但我不记得更多细节了。这种攻击在 Android 手机上是否仍然有效(如果有的话)?或者,还有其他已知的攻击吗?

这是我到目前为止所读到的。Ice Cream Sandwich (Android 4.0) 引入了 FaceLock。Jelly Bean (Android 4.1.1) 引入了“Liveness Check”,检查你的眼睛是否眨眼我发现声称如果没有 Liveness Check,FaceLook 可以通过举起静态图片来绕过,并且 Liveness Check 可以通过上面概述的技巧来击败。(这是一段显示攻击的视频。)这仍然有效吗?还有其他需要担心的威胁吗?

3个回答

你已经做了足够多的研究,发现安卓上的面部识别很容易被绕过。我读过(虽然我现在找不到链接)研究人员能够通过使用相似的人的图片来击败它,甚至不是真实的人。当您考虑期望面部识别能够在资源有限的设备上工作时,并且期望在几分之一秒内工作时,这是一项艰巨的任务。我相信它最终会到达那里,但现在它并不强大。

我确实认为,在完全排除它之前,您应该考虑您要保护的是什么。大多数手机被盗是为了在黑市上出售,而不是为了获取信息。大多数人甚至在没有人试图从他们身上获取数据的情况下就被擦除了。鉴于小偷需要以某种方式获得受害者正确姿势的高质量照片才能解锁手机,因此面部识别似乎对许多人来说是“足够好的”安全性,因为它提高了难度充分地。

如果攻击者真的想要访问某人的手机并且有时间和资源来获取所有者的照片,那么面部识别不会阻止访问。因此,如果您的手机上有某人真正想要的信息,或者有责任保护手机上的信息,请不要使用面部识别。如果您的手机没有什么有趣的东西,那么为什么不使用它呢?

坦率地说,面部识别被高估了。这有点像好莱坞的倒退。

对我来说,主要的弱点是:

  • 如前所述,许多形式都可以被静态图片打败
  • 即使是检查闪烁的表格有时也会无法从静态图像生成的精心准备的视频
  • 同时针对静态图像和视频的表单验证速度很慢,这将非常不适合 Android 设备等消费电子产品。
  • 强迫某人解锁(例如,使用视频通话)有点太容易了,因此不适合高安全性应用程序。
  • 它不允许任何简单的途径进入胁迫访问系统,而胁迫密码、密码等都相对容易实现。

对我来说,这是一个很好的手机噱头,但它有点像“我的声音是我的护照,验证我”式的安全——有点浪漫,不应该被高估。这充其量是一个低安全性的选择。

但是,如果考虑到任何应用程序,它可能会为身份验证形成一个很好的额外因素。就像安全中的所有事情一样,这是针对正确问题的正确解决方案的问题。我不会用它来保护我的房子,但我可能会用它来保护我的冰箱;)

Android的面部识别比著名的更安全

1234
0000
...

密码。

它比任何其他形式的 4 位数字密码都弱。

此外,这是一个重大风险,因为它放大了已经公开的个人照片展示,从而产生了更大的攻击面(在这方面它根本不重要:Facebook 是该领域的领导者)。因此,与所有生物识别技术一样,这是一种
风险改进

其它你可能感兴趣的问题
上一篇替换 OpenSSH 的 moduli 文件是否值得? 下一篇PGP:我如何阅读由我用收件人的公钥加密的已发送邮件?