讨论iPhone X人脸识别系统有关的安全问题

人脸识别（facial recognition）是最广泛且常见的生物识别（biometric）存取控制技术之一。相较于其它生物识别系统，人脸所提供的信息涵盖更多样化的应用。这些信息可用于确认个体的性别、种族、年龄甚至情绪状态。人脸识别技术之所以大行其道的主要原因在于大家已经习以为常；社群媒体鼓励使用者在线上上分享其脸部照片，让使用者对于人脸识别这一概念倍感自在。由于人脸识别技术的本质（收集的信息能被广泛应用），确保系统能稳定、有效且安全地识别个人身份至关重要。然而，透过人脸识别技术达到安全存取控制极具挑战性；必须考虑到恶意攻击存在着多种切入点，例如诈骗、图像控制、运行时篡改，甚至窃取图像等。

本文将重点讨论与苹果（Apple）最新旗舰级手机iPhone X人脸识别系统有关的安全问题。iPhone X的Face ID如何运作？Apple已经发表了一篇《Face ID安全性》(Face ID Security)的文章，但由于本文截稿前还没拿到这支手机，以下是从近期媒体报导整理的重点：

1. 使用者每次面对手机时，通过“泛光传感元件”检测人脸，即使在黑暗中也能顺利进行；

2. 红外光摄影头捕捉红外光图像；

3. 点阵投射器能在使用者的脸上投射3万多个红外光点；

4. 捕捉到的红外图像和点阵图形会在神经网络建构出使用者人脸的数学模型，即网格(mesh)。这款神经网络采用Apple全新的A11仿生芯片(A11 Bionic)，专门用于处理Face ID；

5. 在运算过程中，手机会将使用者人脸的深度信息传送至处理器进行检测，经由数学计算比对是否与装置内储存的人脸特征相符；

6. 如果两者相符，使用者的身份便得到验证，手机就会解锁。

Apple iPhone X的Face ID技术采用3D结构光方案，支持点阵投影器与红外光摄像头，即使是在黑暗环境下仍能实现精确的人脸识别值得注意的是，在这个验证过程中，手机也会进行检测，确定使用者是否注视着手机。使用者在什么情况下使用Face ID？若要使用Face ID，使用者必须先设定密码来配置其iPhone X手机。在那之后，使用者的脸部就能够用于解锁手机，而不必再输入密码。然而，在一些情况下，使用者将无法仅用其人脸解锁，而必须输入密码以进行额外的安全验证。这些情况包括：

- 第一次解锁(即装置刚开机或重新启动时)

- 装置超过48小时未曾解锁

- 过去156小时(六天半)内未使用密码来解锁装置，且最近4小时内未以Face ID解锁

- 装置受到远端锁定指令

- 比对脸部失败超过五次之后

- 使用者按下暂时停用Face ID的硬体按键(直到下一次解锁以前)

验证功能安全吗？能有效打击黑客吗？当然，没有任何一种身份验证系统是无懈可击的。在iPhone X 新机的发佈会上，Apple全球市场行销资深副总裁Phil Schiller表示，一部iPhone X随机被人群中的一个人用人脸识别意外解锁的机率是百万分之一。他说：“有关Face ID的类似统计呢？大概是一百万分之一。在随机人群中，因为看到你的iPhone X就会因他们的面孔而使手机被解锁的机会大约是百万分之一。当然，如果那个人和你有着密切的遗传关系，统计数字就会下降。所以，如果您碰巧有一个‘邪恶的双胞胎’，就可能通过Face ID来解锁你的装置。因此，你真的需要用密码来保护敏感的资料。”

Apple在一次直播活动中即指出双胞胎或者长相相似的使用者之间可能互相解锁。因此，用户在把手机交付他人保管时要加倍小心。

相较于Apple的指纹生物识别技术Touch ID，Face ID的统计数字在验证强度方面已经大幅提升了；Touch ID在随机以他人指纹意外成功解锁手机的机率约50000分之一。然而，“独一无二”只是有关生物辨识验证的许多考量之一。无论是五万分之一或百万分之一，手机被窃取后又被意外成功解锁的机率都是微乎其微的。事实上，我们应该更关注的是黑客是否会轻易地攻破这项技术。大家都知道，黑客先前曾经使用非常先进以及成本高昂的技术破解了Touch ID，但一般偷窃手机的小偷不太可能具备这种资源。而即使是有时间与资源的组织黑客，要能破解手机的Touch ID也需要先窃取或复制手机用户的指纹。尽管要取得一个人的指纹并不是不可能的事，但比起取得他的脸部照片，当然是更困难的，尤其是社群媒体与技术如此融合于个人生活的今日，取得某人的脸部照片可谓轻而易举。因此，Apple必须确保就算黑客取得了手机使用者的照片，也不能使用该用户的手机。至今所发布的许多人脸识别技术都已经被一些简单、甚至是很基本的手段就被攻破了，例如黑客可以使用打印的照片、数码照片、经动画处理的数字照片以及3D模型等。Apple一直在努力确保这些欺骗攻击类型无法解破Face ID，并宣称就算使用模拟度极高的使用者人脸3D面具也无法成功解锁，但我们要真正使用iPhone X一段时间后才能见真章。暂时停用Face ID使用者关注的另一种情况是：“如果我是被威胁着看手机而解锁，那怎么办？”这情况是很可能发生的，例如遇到窃贼或执法人员对使用者作出这样的命令。使用者只需同时按下手机正反面的按键，Face ID就会停止运作，直至下次输入密码后才会重新开机。通过这项功能，就算使用者被威胁看着手机，它也不会解锁。支持Face ID在iPhone X手机发布会上发佈的另一项有趣信息是所有支持Touch ID的应用程序(App)都支持Face ID，这意味着iPhone X使用同样的应用程序设计接口(API)，而且也采用了现有可用的生物识别方案。指纹识别认证一般采用“本地认证”(Local Authentication)架构，能同时支持Touch ID与Face ID。从添加功能以及提供支持的角度而言，这是相当有利的。希望紧追随人脸识别技术潮流的企业与应用开发商不必大费周章，就可支持Face ID。然而，部分企业在批准/冒险接受员工设备使用Touch ID功能(或者是用于其外部的App Store应用程序)之前，已经先对Touch ID进行深入的分析与风险评估。但这些企业很可能不会对人脸识别技术进行风险评估或批准员工在企业中使用。现在，iPhone X才刚上市就已经让所有支持Touch ID的应用程序都相容于Face ID，这意味着就算企业尚未批准，但使用公司装置的员工都可以用Face ID的人脸识别功能了。有鉴于此，企业必须尽快在iPhone X上市前分析并评估Face ID，以便及时修订有关的公司政策。

本地认证架构容许开发商确认一台装置是支持Touch ID或Face ID。因此，如果需要的话，也可以通过程序设计方式停用Touch ID/Face ID或者两种应用程序的本地认证。