越南研究人员成功破解脸部识别技术漏洞 - 安防知识网

据悉，越南研究人员已经破解了脸部识别技术，该技术被用于联想，华硕，东芝最新型号的笔记本电脑中以实现最高安全级别，研究人员计划在下周的黑帽会议（BlackHatDC）上进行演示。一位越南研究人员将在下周的黑帽会议上演示他和他的同事们如何轻易地欺骗和绕过生物识别系统，该系统通过扫描用户的脸部来验证用户身份。

研究人员破解了嵌入在联想，华硕，东芝笔记本电脑中的生物识别身份验证，他们仅仅使用一个授权用户的照片，然后通过伪造的面部图象来进行暴力破解。他们成功地绕过了联想的VerifaceIII，华硕的SmartLogonV1.0.0005，以及东芝的人脸识别2.0.2.32系统，而且每一个系统都被调到了最高安全级别。破解显示出这些系统中的漏洞，可以让黑客利用伪造合法用户照片来欺骗它们，从而获得对笔记本电脑的访问权限。

这些WindowsXP和Vista的笔记本电脑都通过内置式网络摄像头使用脸部识别技术。这种形式的认证被认为比指纹扫描更便捷，也比传统密码更安全。该软件扫描用户的脸部，然后存储图象和脸部特征。然后用户可以通过扫描他/她的脸，与图象数据进行对比后实现登录。

研究人员能够绕过不仅仅是采用授权用户照片的的认证系统，而且可以创造出各种伪造的脸部图象。“使用这个机制的三个厂商没有达到一个认证系统所必需的安全要求，而且它们也不能完全保护它们的用户不被篡改，”研究人员在个破解论文中写道。

其中一名研究人员，NguyenMinhDuc是越南河内科技大学BachKhoa网络安全中心的应用安全部经理，他声称将在黑帽会议上演示破解过程，以及他和他同事开发的利用工具。

“没有办法可以解决这一漏洞，”Duc称。“华硕，联想，东芝必须从它们所有型号的笔记本电脑中去除这一功能......[它们]必须对世界各地的用户建议停止使用这个[生物识别]功能。”

攻击者可以修改和调整伪造照片中的灯光和角度，以确保这些系统可以接受它。研究人员的论文称“由于黑客不知道系统学习所得的脸部是什么样子，所以他必须创造出大量的图象......我们称这种攻击手段为“脸部伪造暴力攻击”（FakeFaceBruteforce），利用目前所有的各种脸部编辑程序，可以很容易进行这种攻击。”

“当我们研究这些算法时发现，它们都是利用图象处理，工作在已经数字化的图象之上。因此，我们认为这就是脸部识别系统，尤其是这三个厂商所提供的访问控制系统中最薄弱的安全环节。”

著名动物群的机器学习专家称，生物识别技术包含指纹识别、眼部视网膜识别、虹膜识别、声波纹理识别、脸谱识别和手部特征识别等众多技术，这次被破解的只是脸谱识别技术，属于生物识别技术中安全性较低的类别，目前很多厂商使用的脸部图象还只是二维或者2.5维，这样的精确性会更加低。实际上，生物识别技术的很多算法是基于统计学理论，这就使它不可避免的出现误差，即使是公众最熟悉的指纹识别技术，准确率也不能达到100%。专家称，作为实用的识别算法，不但要考虑安全性问题，还要考虑识别效率，用户不可能接受很长的识别时间，所以厂商只能使用一些速度较快但牺牲一些准确性的算法来达到要求，这就造成了算法潜在的安全问题。