Android 手機臉孔辨識解鎖可被 3D 列印人頭破解，只有 Apple Face ID 安全無虞

近日富比士記者 Thomas Brewster  發表一篇有關手機上臉孔辨識功能的報導，測試不同手機型號的安全性。測試手機包含 iPhone X、LG G7 ThinQ、Samsung S9、Note 8 和 OnePlus 6。結果發現，這幾款手機中，iPhone X 的安全性最高，不受測試用的假人頭暪騙。

這項測試是在英國伯明罕一家名為 Backface 的公司完成。Thomas Brewster 在具有 50 部相機的攝影棚中拍攝自己的頭像，合成一張完整的 3D 圖，再將此圖導入 3D 列印設備，製作出一個 3D 列印人頭。

Thomas Brewster 先用自己的真面貌在手機上設定臉孔辨識，然後以這個假人頭逐一嘗試各款手機企圖解鎖。雖然過程遭遇不同程度的困難，但最終所有 Android 手機仍被假人頭騙過而成功解鎖。iPhone X 是這其中唯一不受愚弄的手機。

以 LG 的 G7 為例，第一次使用新機時會出現提示，警告使用者最好不要打開臉孔辨識功能，表明臉孔辨識只是一種輔助的解鎖方式，會導致手機安全性降低。

Samsung S9 也有類似提醒。奇怪的是，當使用者初次設定 S9 時，建議的解鎖選項是臉孔辨識和虹膜辨識。當然，3D 列印技術製作出的假人頭無法通過虹膜辨識。而在某些角度跟光線下，假人頭仍可欺瞞 S9 上的臉孔辨識。對於 Note 8，Samsung 還提供「快速辨識」選項，安全性比正常的臉孔辨識功能更低。無論哪一種方式，都能被假人頭解鎖。據 Samsung 表示，「臉孔辨識」只是打開手機的一種快速方式，就好像「滑動解鎖」。Samsung 另提供最高等級的生物驗證系統（指紋或虹膜）以解鎖手機、完成 Samsung Pay 支付或打開上鎖的文件夾。

OnePlus 6 沒有上述安全性相關提醒，假人頭可輕易地成功解鎖。 OnePlus 表示，臉孔辨識解鎖僅為方便而設，建議使用者還是採用密碼或指紋辨識來保證安全，且臉孔辨識解鎖功能不會應用在銀行帳戶或行動支付。

顯然地，除了 Apple ，大多 Android 手機廠商在臉孔辨識的安全性上仍有很大的進步空間。CC Group 安全研究主管 Matt Lewis 認為，如果使用擔心裝置被一顆「假人頭」破解，那麼最好不要使用臉孔辨識，改採複雜的字母或數字密碼會更安全。生物特徵辨識技術所面臨的現實問題就是生物特徵可以被複製。只要破解者擁有足夠時間、資源和特定的攻擊對象，就有辦法欺瞞過這類生物特徵辨識技術。