指紋識(shí)別器和虹膜掃描儀是基于生物安全機(jī)制的身份認(rèn)證，目前已應(yīng)用于智能手機(jī)、平板電腦和筆記本電腦。雖然這些技術(shù)很新穎，但也難免會(huì)有新的破解方法出現(xiàn)。

比如用在手機(jī)上的臉部認(rèn)證，只有通過(guò)攝像頭認(rèn)證了的臉才有權(quán)限訪問(wèn)這臺(tái)手機(jī)。這還不夠，最近更有些是使用“活臉”認(rèn)證，比如加入了眨眼檢測(cè)。相信這種認(rèn)證方式很容易個(gè)給人一種很安全的感覺(jué)。

但在今年的 USENIX 安全大會(huì)上，一組研究人員利用在社交媒體上收集的照片重新組合成一個(gè)人的立體虛擬頭像成功地騙過(guò)了臉部認(rèn)證。他們把重建的立體虛擬頭像利用VR頭顯讓它真正地活起來(lái)，借此騙過(guò)設(shè)備的臉部識(shí)別。研究人員還可以再進(jìn)一步操縱面部動(dòng)作，如微笑或眉毛上揚(yáng)等。

測(cè)試的 5 張由高分辨率合成的臉部模型都成功地欺騙了身份驗(yàn)證系統(tǒng)。低分辨率的社交照片同樣能做到，只不過(guò)成功率較低。而且，目前高分辨率的個(gè)人在線照片在網(wǎng)上已經(jīng)是隨手可得，這給攻擊者一個(gè)非常豐富的資源用于制作假臉數(shù)據(jù)。

“我們認(rèn)為，這種虛擬欺騙攻擊是一種新型的攻擊手段，它指向身份驗(yàn)證系統(tǒng)的一個(gè)嚴(yán)重弱點(diǎn)。除非加入其他一些可核查的數(shù)據(jù)，否則單憑攝像頭捕捉的彩色圖像和運(yùn)動(dòng)信息很容易受到這種虛擬模擬的方式攻擊。”研究人員寫(xiě)道，這表明一個(gè)健壯的臉部認(rèn)證還需納入某種非公開(kāi)的用戶圖像，如皮膚熱度圖。