<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁 > 手機(jī)與無線通信 > 業(yè)界動態(tài) > 新思科技評估IPhone X Face ID及生物識別系統(tǒng)的安全性

          新思科技評估IPhone X Face ID及生物識別系統(tǒng)的安全性

          作者: 時間:2017-10-16 來源:電子產(chǎn)品世界 收藏

            現(xiàn)已有一些框架被建議用來評估系統(tǒng)的安全性。其中比較受認(rèn)可的包括Ratha1以及Bartlow 和Cukic2提出來的框架,前者較為簡單,后者是增強(qiáng)版。

          本文引用地址:http://www.ex-cimer.com/article/201710/370066.htm

            要運(yùn)用這些框架來評估iPhone X的安全性需要大量我們還沒有的數(shù)據(jù)。我們較難推測iPhone X人臉識別技術(shù)的實現(xiàn)。我們想在此從整體上討論人臉識別安全性,其中有一些可能是應(yīng)用在iPhone X的類似技術(shù)。



            評估了數(shù)款手機(jī)人臉識別軟件的使用安全。我們簡要介紹在評估期間探討的幾個攻擊方式:

            針對活體檢測的攻擊

            活體檢測是為了測試使用者是非生命體或是人類。進(jìn)行活體檢測時,我們評估的手機(jī)軟件要求使用者左右轉(zhuǎn)頭。我們輕易的通過編程鉤來繞過和解除活體檢測 。解除活體檢測后,靜態(tài)的照片就足以通過生物認(rèn)證。這通過編程鉤來繞過和解除的技術(shù)理論上可以擴(kuò)展到完全繞過認(rèn)證系統(tǒng)。這樣的攻擊可能僅應(yīng)用在無需離線數(shù)據(jù)保護(hù)密鑰的系統(tǒng)上。

            運(yùn)行編程鉤攻擊可能只應(yīng)用在無需底層操作系統(tǒng)扶持的人臉識別系統(tǒng)的手機(jī)軟件上(而非Face ID) 。由于iPhone X采用TrueDepth相機(jī)系統(tǒng),所以想發(fā)起類似攻擊可能需要更具挑戰(zhàn)性的硬件攻擊。

            針對暴力保護(hù)機(jī)制的攻擊

            暴力保護(hù)機(jī)制可以防止攻擊者通過對生物認(rèn)證系統(tǒng)進(jìn)行大量嘗試來破解密碼。雖然被測軟件儲存了身份驗證的次數(shù),但我們可以使用附加程序來重置驗證次數(shù)為零。結(jié)合繞過活體檢測的方法,我們可以輕易地利用從社交媒體上截取的照片來完全繞過生物認(rèn)證。

            通常這些用戶端控件都可以繞過。雖然硬件安全控制提高了標(biāo)準(zhǔn),但它們并不是不可逾越的。iPhone歷來都具有暴力保護(hù)系統(tǒng),但也都被破解了。iPhone X對此類攻擊的保護(hù)效果仍是未知數(shù),尚待評估。

            微弱的生物識別生成密鑰

            我們所測試的軟件沒有在任何用戶使用生物識別時生成密鑰的。這導(dǎo)致受保護(hù)的數(shù)據(jù)不需要生物認(rèn)證即可輕易竊取。如果您想生成生物密鑰,可以參考密鑰綁定生物密碼系統(tǒng)及密鑰生成生物密碼系統(tǒng)。

            iPhone X使用Face ID進(jìn)行支付和保護(hù)離線數(shù)據(jù)。以前的iPhone憑借Touch ID解鎖用來保護(hù)離線數(shù)據(jù)的主密鑰。Face ID應(yīng)該也有類似功能。不過,蘋果公司在采用Touch ID時并沒有使用用戶的生物特征生成密鑰。Touch ID的安全性取決于將Secure Enclave安全模塊與其它操作系統(tǒng)隔離。這意味著如果沒有額外的針對安全模塊的攻擊,即使操作系統(tǒng)出現(xiàn)問題也不會影響到Secure Enclave。因此,如果Face ID采用類似的模式來解鎖主密鑰,這也不足為奇。

            傾斜照片角度嘗試登錄

            通過使用iPad上的高分辨率照片向左和向右傾斜來通過身份驗證雖難以進(jìn)行連續(xù)攻擊,不過也是可行的。在暴力保護(hù)系統(tǒng)失效的情況下,我們可以進(jìn)行5至15次登錄嘗試。不過如果安裝了深度攝像頭,比如Windows Hello和Face ID,那這種方法就行不通了。

            3D模型攻擊

            這是我們一些測試中最可靠的攻擊方式。攻擊者可以構(gòu)建3D模型,即使使用低分辨率照片(來自社交媒體),然后左右轉(zhuǎn)動。利用FaceGen Modeller 3D面部處理軟件可以生成模型,F(xiàn)aceGen Artist可以左右移動模型,這足以在無需篡改手機(jī)軟件的情況下通過生物認(rèn)證。即使生物識別系統(tǒng)要求用戶執(zhí)行特定面部表情動作,仍然有可能利用FaceRig臉部捕捉軟件通過驗證。因此,用戶可以利用由FaceGen構(gòu)建的模型以及完整的表情庫來進(jìn)行視頻聊天。

            理論上,無論是照片傾斜或者3D 模型攻擊對iPhone X應(yīng)起不了作用,因為iPhone X配備了深度攝像頭。

            雖然我們還沒有機(jī)會嘗試其它一些攻擊方式,但我們應(yīng)擔(dān)心面部欺騙攻擊和3D建模面具。蘋果公司聲稱已經(jīng)使用經(jīng)過訓(xùn)練的神經(jīng)網(wǎng)絡(luò)引擎來識別和防范這些面具 。

            Windows Hello認(rèn)證采用英特爾RealSence 3D攝像頭識別雙胞胎。然而,蘋果公司還沒有宣布iPhone X有此功能,仍建議雙胞胎使用密碼登錄。iPhone X使用與Windows Hello設(shè)備類似的深度攝像頭,但它對防止別有用心的雙胞胎和3D打印面具的保護(hù)功能尚未完全了解。

            Alagu Raman預(yù)測,隨著這些系統(tǒng)的升級,在使用照片、模型或者面具通過認(rèn)證之前,將更加需要篡改設(shè)備(比如攻擊硬件使活體檢測失效)。



            參考資料:

            Nalini K. Ratha, Jonathan H. Connell, and Ruud M. Bolle, “Enhancing Security and Privacy in Biometrics-Based Authentication Systems,” IBM Systems Journal 40, no. 3 (2001): 614–34. Nick Bartlow and Bojan Cukic, “Biometric System Threats and Countermeasures: A Risk-Based Approach,” in “Proceedings of the Biometric Consortium Conference (BCC 05)” (Crystal City, VA: 2005).




          關(guān)鍵詞: 新思科技 生物識別

          評論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();