正在阅读：Face ID出现漏洞！别以为睡觉就不能解锁了Face ID出现漏洞！别以为睡觉就不能解锁了

　　[PConline 求真实验室]还记得 2 年前，iPhone X作为苹果手机 10 周年的见证，除了全面屏的ID设计外，新奇的人脸解锁「Face ID」也让不少人眼前一亮，并承诺仅有百万分之一的破解几率。

　　经过 2 代的发展，现在用iPhone X 或 XS 系列的小伙伴估计都没有了当初“被人偷偷刷脸解锁”的担忧，有时候更感慨比指纹解锁方便。

　　但最近Face ID还是爆出一个巨大漏洞！来看求真君演示一番……

　　这是怎么回事？

　　这个漏洞最早是上个月由腾讯安全研究员在拉斯维加斯举行的美国黑客大会上爆出，仅需 一幅眼镜 + 黑胶带 + 白胶带/白笔 就能破解。

　　具体的方法就跟视频演示的那样：在眼镜的镜片贴上黑色胶带，再在黑胶带中间贴个白胶带（或画上白色点）模拟眼球，然后由机主戴上就可以破解了。

　　这么简单就可以？还真可以……不信大家可以试试。求真君试了也觉得发现这个漏洞的人也是脑洞大，这是怎么回事呢？

我们先来讲讲Face ID的解锁原理 

　　iPhone X 的刘海为什么那么大？肯定不是为了好看，而是因为刘海里塞了太多东西，可以看到有起码 8 个元器件在里面，其中就有专门用来给 Face ID 提供技术支持的红外镜头、泛光感应元件、点阵投影器。

　　在录入面容时，这些元器件就会投射出大约 3 万个不可见光点到人脸上，然后被红外镜头记录，传回处理器中，作为密码保留。

　　然后需要解锁时，这些元器件再投射 3 万不可见光点，扫描要解锁的人的面部，摄像头记录后与处理器中的面容密码去比对，符合的就解锁。

　　这过程有 2 个关键点：

　　· 苹果要保证你是真人——「活体检测」

　　· 苹果要你睁眼来看 —— 「注视感知」

　　保证是真人就不用说了，不能让别人用照片来破解你的锁。那为什么要注视呢？

　　其实也是为了能更好的判断你是“清醒”的真人，防止睡觉时被人偷偷解锁。所以求真君也相信不少人也试过，闭眼睛去解锁 Face ID 发现行不通，就是因为有这个注视感知功能。

Face ID功能这么全面怎么还是被破解了呢？ 

　　因为Face ID的逻辑是：先看看你有没有睁眼，再扫描眼睛区域以外的 3D 面容信息，来匹配密码配对。不然怎么有些人戴了眼镜还能解锁呢？

　　所以只要机主带着那个胶带眼镜，Face ID 在工作时就不会从镜框区域提取3D信息。而是对眼睛进行抽象的描绘，把黑白胶带当做了眼球和虹膜，自然就认为你是“睁眼”的真人了，也自然给你解锁。

　　只要能解锁了……你的微信支付、支付宝、软件密钥等统统都能被破解，转走钱财简直是探囊取物。

　　但，转念一想，好像也没那么容易？

　　首先，解锁的关键还是要机主本人，然后还要在他不知情的情况下戴上眼镜，再重复试几次才能解锁。这难度比借个大拇指开指纹锁难多了吧！

　　苹果其实也有一些手段辅助Face ID，比如以下情况就需要输入密码。

　　看到这里可能有人就会感慨：苹果的Face ID怎么这么水啊。

　　求真君用同样方法试了下身边的安卓机，发现解锁更加容易……而且现在并没有绝对安全的解锁方案，本来之前三星旗舰机是有一个虹膜解锁的，安全系数也很高，但因为实在麻烦，又要摘眼镜又要瞪眼睛，这不，今年的 S10 就取消了。

　　而最近，苹果产品营销副总裁格雷格·乔斯维亚克（Greg Joswiak） 在一次关于生物识别安全和 iPhone 等方面的采访中，重点强调了自家公司的 Face ID 和 Touch ID。他表示，Face ID 将会出现在更多苹果设备上，但 Touch ID 仍将继续使用。

“我们会继续将 Face ID 扩展到更多设备上，但 Touch ID 将继续发挥作用，Touch ID 毕竟是第一个主流的生物识别安全系统，用户已经非常习惯它的存在，它改变了人们保护设备的方式。” Joswiak 说：“但我们希望通过更安全，更方便的方式进一步提高生物识别安全性，这就是我们推出了 Face ID 的原因，两年前我们首次在 iPhone X 上发布了 Face ID，我们认为它比 Touch ID 更自然，只需一瞥即可解锁你的设备。”

　　Joswiak 还表示，在 iOS 13 的改进下，新一代 Face ID 速度将提高 30 ％，用iPhone X 以上的小伙伴可在 9 月 20 号升级到 iOS 13 试试。

　　而最近“ZAO”的AI换脸风波也让人对“人脸识别”风声鹤唳，那同样收集大量人脸数据的Face ID 是否也有被人盗用的风险？

　　根据苹果官方的说法，用户使用 Face ID 并不会上传自身照片到服务器或云端，产生数据时的人脸信息是存放在所使用设备加密口令中，远程无法访问该人脸数据，并且这些人脸数据也不会被备份，在功能生效之后，即时产生的人脸数据会被立刻删除，所以iPhone Face ID安全性还是值得信赖的。

　　除了解锁和支付时用到真实人脸数据，iPhone中智能表情（Animoji）使用人脸数据产生的是动画表情，不产生真实人脸信息，所以安全风险非常低，而且以苹果技术实力和严格审核标准，完全有能力保证用户隐私安全。

　　所以目前苹果的Face ID还是足够安全的，虽然是有进步的空间！求真君相信在这个漏洞被爆出后，所有支持人脸解锁的厂商都应该反思自己产品的解锁逻辑或程序，进一步考虑消费者隐私安全的情况。

　　那是不是以后戴眼镜就不方便解锁了……