討論iPhone X人臉識別系統(tǒng)有關(guān)的安全問題

人臉識別（facial recognition）是最廣泛且常見的生物識別（biometric）存取控制技術(shù)之一。相較于其它生物識別系統(tǒng)，人臉?biāo)峁┑?a target="_blank">信息涵蓋更多樣化的應(yīng)用。這些信息可用于確認(rèn)個體的性別、種族、年齡甚至情緒狀態(tài)。人臉識別技術(shù)之所以大行其道的主要原因在于大家已經(jīng)習(xí)以為常；社群媒體鼓勵使用者在線上上分享其臉部照片，讓使用者對于人臉識別這一概念倍感自在。由于人臉識別技術(shù)的本質(zhì)（收集的信息能被廣泛應(yīng)用），確保系統(tǒng)能穩(wěn)定、有效且安全地識別個人身份至關(guān)重要。然而，透過人臉識別技術(shù)達(dá)到安全存取控制極具挑戰(zhàn)性；必須考慮到惡意攻擊存在著多種切入點，例如詐騙、圖像控制、運行時篡改，甚至竊取圖像等。

本文將重點討論與蘋果（Apple）最新旗艦級手機(jī)iPhone X人臉識別系統(tǒng)有關(guān)的安全問題。iPhone X的Face ID如何運作？Apple已經(jīng)發(fā)表了一篇《Face ID安全性》(Face ID Security)的文章，但由于本文截稿前還沒拿到這支手機(jī)，以下是從近期媒體報導(dǎo)整理的重點：

1. 使用者每次面對手機(jī)時，通過“泛光傳感元件”檢測人臉，即使在黑暗中也能順利進(jìn)行；

2. 紅外光攝影頭捕捉紅外光圖像；

3. 點陣投射器能在使用者的臉上投射3萬多個紅外光點；

4. 捕捉到的紅外圖像和點陣圖形會在神經(jīng)網(wǎng)絡(luò)建構(gòu)出使用者人臉的數(shù)學(xué)模型，即網(wǎng)格(mesh)。這款神經(jīng)網(wǎng)絡(luò)采用Apple全新的A11仿生芯片(A11 Bionic)，專門用于處理Face ID；

5. 在運算過程中，手機(jī)會將使用者人臉的深度信息傳送至處理器進(jìn)行檢測，經(jīng)由數(shù)學(xué)計算比對是否與裝置內(nèi)儲存的人臉特征相符；

6. 如果兩者相符，使用者的身份便得到驗證，手機(jī)就會解鎖。

Apple iPhone X的Face ID技術(shù)采用3D結(jié)構(gòu)光方案，支持點陣投影器與紅外光攝像頭，即使是在黑暗環(huán)境下仍能實現(xiàn)精確的人臉識別值得注意的是，在這個驗證過程中，手機(jī)也會進(jìn)行檢測，確定使用者是否注視著手機(jī)。使用者在什么情況下使用Face ID？若要使用Face ID，使用者必須先設(shè)定密碼來配置其iPhone X手機(jī)。在那之后，使用者的臉部就能夠用于解鎖手機(jī)，而不必再輸入密碼。然而，在一些情況下，使用者將無法僅用其人臉解鎖，而必須輸入密碼以進(jìn)行額外的安全驗證。這些情況包括：

- 第一次解鎖(即裝置剛開機(jī)或重新啟動時)

- 裝置超過48小時未曾解鎖

- 過去156小時(六天半)內(nèi)未使用密碼來解鎖裝置，且最近4小時內(nèi)未以Face ID解鎖

- 裝置受到遠(yuǎn)端鎖定指令

- 比對臉部失敗超過五次之后

- 使用者按下暫時停用Face ID的硬體按鍵(直到下一次解鎖以前)

驗證功能安全嗎？能有效打擊黑客嗎？當(dāng)然，沒有任何一種身份驗證系統(tǒng)是無懈可擊的。在iPhone X 新機(jī)的發(fā)佈會上，Apple全球市場行銷資深副總裁Phil Schiller表示，一部iPhone X隨機(jī)被人群中的一個人用人臉識別意外解鎖的機(jī)率是百萬分之一。他說：“有關(guān)Face ID的類似統(tǒng)計呢？大概是一百萬分之一。在隨機(jī)人群中，因為看到你的iPhone X就會因他們的面孔而使手機(jī)被解鎖的機(jī)會大約是百萬分之一。當(dāng)然，如果那個人和你有著密切的遺傳關(guān)系，統(tǒng)計數(shù)字就會下降。所以，如果您碰巧有一個‘邪惡的雙胞胎’，就可能通過Face ID來解鎖你的裝置。因此，你真的需要用密碼來保護(hù)敏感的資料?！?/p>

Apple在一次直播活動中即指出雙胞胎或者長相相似的使用者之間可能互相解鎖。因此，用戶在把手機(jī)交付他人保管時要加倍小心。

相較于Apple的指紋生物識別技術(shù)Touch ID，F(xiàn)ace ID的統(tǒng)計數(shù)字在驗證強(qiáng)度方面已經(jīng)大幅提升了；Touch ID在隨機(jī)以他人指紋意外成功解鎖手機(jī)的機(jī)率約50000分之一。然而，“獨一無二”只是有關(guān)生物辨識驗證的許多考量之一。無論是五萬分之一或百萬分之一，手機(jī)被竊取后又被意外成功解鎖的機(jī)率都是微乎其微的。事實上，我們應(yīng)該更關(guān)注的是黑客是否會輕易地攻破這項技術(shù)。大家都知道，黑客先前曾經(jīng)使用非常先進(jìn)以及成本高昂的技術(shù)破解了Touch ID，但一般偷竊手機(jī)的小偷不太可能具備這種資源。而即使是有時間與資源的組織黑客，要能破解手機(jī)的Touch ID也需要先竊取或復(fù)制手機(jī)用戶的指紋。盡管要取得一個人的指紋并不是不可能的事，但比起取得他的臉部照片，當(dāng)然是更困難的，尤其是社群媒體與技術(shù)如此融合于個人生活的今日，取得某人的臉部照片可謂輕而易舉。因此，Apple必須確保就算黑客取得了手機(jī)使用者的照片，也不能使用該用戶的手機(jī)。至今所發(fā)布的許多人臉識別技術(shù)都已經(jīng)被一些簡單、甚至是很基本的手段就被攻破了，例如黑客可以使用打印的照片、數(shù)碼照片、經(jīng)動畫處理的數(shù)字照片以及3D模型等。Apple一直在努力確保這些欺騙攻擊類型無法解破Face ID，并宣稱就算使用模擬度極高的使用者人臉3D面具也無法成功解鎖，但我們要真正使用iPhone X一段時間后才能見真章。暫時停用Face ID使用者關(guān)注的另一種情況是：“如果我是被威脅著看手機(jī)而解鎖，那怎么辦？”這情況是很可能發(fā)生的，例如遇到竊賊或執(zhí)法人員對使用者作出這樣的命令。使用者只需同時按下手機(jī)正反面的按鍵，F(xiàn)ace ID就會停止運作，直至下次輸入密碼后才會重新開機(jī)。通過這項功能，就算使用者被威脅看著手機(jī)，它也不會解鎖。支持Face ID在iPhone X手機(jī)發(fā)布會上發(fā)佈的另一項有趣信息是所有支持Touch ID的應(yīng)用程序(App)都支持Face ID，這意味著iPhone X使用同樣的應(yīng)用程序設(shè)計接口(API)，而且也采用了現(xiàn)有可用的生物識別方案。指紋識別認(rèn)證一般采用“本地認(rèn)證”(Local Authentication)架構(gòu)，能同時支持Touch ID與Face ID。從添加功能以及提供支持的角度而言，這是相當(dāng)有利的。希望緊追隨人臉識別技術(shù)潮流的企業(yè)與應(yīng)用開發(fā)商不必大費周章，就可支持Face ID。然而，部分企業(yè)在批準(zhǔn)/冒險接受員工設(shè)備使用Touch ID功能(或者是用于其外部的App Store應(yīng)用程序)之前，已經(jīng)先對Touch ID進(jìn)行深入的分析與風(fēng)險評估。但這些企業(yè)很可能不會對人臉識別技術(shù)進(jìn)行風(fēng)險評估或批準(zhǔn)員工在企業(yè)中使用?，F(xiàn)在，iPhone X才剛上市就已經(jīng)讓所有支持Touch ID的應(yīng)用程序都相容于Face ID，這意味著就算企業(yè)尚未批準(zhǔn)，但使用公司裝置的員工都可以用Face ID的人臉識別功能了。有鑒于此，企業(yè)必須盡快在iPhone X上市前分析并評估Face ID，以便及時修訂有關(guān)的公司政策。

本地認(rèn)證架構(gòu)容許開發(fā)商確認(rèn)一臺裝置是支持Touch ID或Face ID。因此，如果需要的話，也可以通過程序設(shè)計方式停用Touch ID/Face ID或者兩種應(yīng)用程序的本地認(rèn)證。