信安早八点丨面部识别安全吗？研究发现3D打印的脸能骗过安卓机

Posted 2021-04-28 信安巴士

1、面部识别安全吗？研究发现3D打印的脸能骗过安卓机

面部识别技术已经无处不在，但它真的安全吗？研究人员最近收集4款最热门的android手机，加上iPhone，用3D打印人头测试，看看能否欺骗它们。结果发现，所有Android手机都被假人头骗过，iPhone倒是没有上当。

托马斯·布鲁斯特（Thomas Brewster）是《福布斯》员工，他来到英国伯明翰Backface的一个工作室，里面装有50个摄像头。摄像头拍摄图像，合成之后变成完整的3D图像。然后布鲁斯特将图片输入编辑软件，修正错误。

接下来Backface用3D打印机建模，用一种英国石膏粉打印各层，然后润色并添加颜色，花了几天时间制作出逼真的人头，花费超过300英磅。

测试开始。布鲁斯特用5台手机的面部识别系统识别人头。一款是iPhone X，还有就是LG G7 ThinQ、三星S9、三星Note 8、一加6。

布鲁斯特将人头拿到手机前，看它能否解锁。假人头成功欺骗4台Android手机并打开，只是难易程度各有不同。只有iPhone X没有上当受骗。

Android设备真的能防止黑客入侵吗？各大厂商的警告信息并不一样。例如，当我们打开全新的G7手机时，LG提醒说：“面部识别是第二解锁方式，它会降低手机的安全性。”LG还警告说用面部相似图像可以解锁手机。事实的确如此，在最初的测试中，3D打印头像轻松就能解锁手机。

不过在录制视频的过程中，LG面部识别系统似乎升了级，想欺骗它变得更困难了。LG新闻发言人证实，公司会持续对系统进行优化升级。

三星S9也给出相似警告。在Note 8手机上，可以启用速度更快的面部识别功能，不过三星承认，速度越快越不安全。

一加6手机没有警告用户，也没有提供速度较慢、相对较安全的选择。录入面部信息时，一加6出现科幻式面部扫描图，看起来很先进，但是将假人头放在前面时，它瞬间就解锁了。总之，在几款手机中，一加6是最不安全的。

苹果与好来坞工作室合作，制作逼真的面具测试Face ID，事实证明苹果的投入没有白费。用模型欺骗iPhone基本上不可能成功。

其实微软也做得不错，它的Windows Hello面部识别系统也可以识别假人头。

2、腾讯团队发现 SQLite 漏洞：或影响 Chrome 等数千款应用

据美国科技媒体 ZDNet 报道，腾讯 Blade 安全团队发现的一个 SQLite 漏洞可以让黑客在受害者的电脑上远程运行恶意代码，还会导致程序内存泄露或程序崩溃。

由于 SQLite 被嵌入到数千款应用中，因此这个漏洞会影响许多软件，范围涵盖物联网设备和桌面软件，甚至包括网络浏览器到 Android 和 ios 应用。

访问:

腾讯云

并且只要浏览器支持 SQLite 和 Web SQL API，从而将破解代码转变成常规的 SQL 语法，黑客便可在用户访问网页时对其加以利用。

火狐和 Edge 并不支持这种 API，但基于 Chromium 的开源浏览器都支持这种 API。也就是说，谷歌 Chrome、Vivaldi、Opera 和 Brave 都会受到影响。

不光网络浏览器会遭受攻击，其他应用也会受到影响。例如，Google Home 就面临安全威胁。腾讯 Blade 团队在本周的报告中写道：“我们借助这个漏洞成功利用了 Google Home。”

腾讯 Blade 研究人员表示，他们曾在今年秋初向 SQLite 团队报告过这个问题，12 月 1 日已经通过 SQLite 3.26.0 发送了补丁。上周发布的谷歌 Chrome 71 也已经修补该漏洞。

Vivaldi 和 Brave 等基于 Chromium 的浏览器都采用最新版本的 Chromium，但 Opera 仍在运行较老版本的 Chromium，因此仍会受到影响。

虽然并不支持 Web SQL，但火狐也会受到这个漏洞的影响，原因在于他们使用了可以在本地访问的 SQLite 数据库，因此本地攻击者也可以使用这个漏洞执行代码。

Check Point 研究员艾亚尔·伊特金（Eyal Itkin）也指出，该漏洞还需要攻击者能够发出任意的 SQL 指令，从而破坏数据库并触发漏洞，因而会大幅减少受影响的漏洞数量。

但即使 SQLite 团队发布补丁，很多应用仍会在今后几年面临威胁。原因在于：升级所有桌面、移动或网页应用的底层数据库引擎是个危险的过程，经常导致数据损坏，所以多数程序员都会尽可能向后推迟。

也正因如此，腾讯 Blade 团队在发布概念验证攻击代码时会尽可能保持谨慎。

3、2018年度最烂密码评选结果

2018年度最烂密码评选结果：SplashData发布报告确认称，“123456”连续五年蝉联榜首，成为年度使用次数最多的密码组合。

据统计，“123456”连续五年蝉联第一，成为年度使用次数最多的密码组合，“password”紧随其后。

尽管安全专家们不断举行活动希望提高人们的安全意识，但人们却并未改变向黑客暴露数据的坏习惯。 

这是美国安全软件公司SplashData连续第八年发布最烂密码表，该年度报告基于对逾5百万外泄密码的分析。 

以下是2018年使用率最高的密码组合：

• 123456

• password

• 123456789

• 12345678

• 12345

• 111111

• 1234567

• sunshine

• qwerty

• iloveyou  

SplashData发布新闻稿表示，“从SplashData发布的第八份年度最烂密码表来看，戒除坏习惯并不容易。

根据对网上泄露的逾5百万条密码的评估，本公司发现计算机用户习惯于使用同一极易预测与猜测的密码。” 

 “任何使用这些密码的用户都将处于被入侵与身份被盗的高风险下。” 

今年，美国总统特朗普首次出现在最烂密码表上，“donald”成为第23个最常用的密码组合。 

不幸的是，人们并未放弃使用名人姓名、流行文化与体育术语以及简单的键盘模式，这无疑为黑客开辟了入侵其线上账户的捷径。 

SplashData公司首席执行官摩根·斯兰（Morgan Slain）表示，“我们希望通过每年发布的最烂密码表，来劝说人们采取措施加强网上的自我保护。

这个问题实在令人头疼，人们虽然知道其中存在风险，并且万豪、全国共和党国会委员会被黑事件等大量黑客入侵事件都获得了很高的关注度，但人们却仍然将自己置于如此风险之下，年年如此。” 

专家建议人们使用字符串密码，并且在访问不同的服务时使用不同的密码。密码应当至少包含8个字符，且应包含大小写、数字与符号（i.e.%$#!.）。