https://t.me/AppleNuts/597 [戴着口罩解锁 Face ID ?是漏洞]
iOS 13.5 Beta 3 版本有一个比较有意义的更新是当原深感摄像头检测到面部被遮挡时(口罩、围巾、面具等),FaceID 不会再反复尝试识别你的面容,而是会直接弹出密码输入框让你输入密码,在这个特殊时期非常便捷。
但是,其实这个功能诞生,仅仅是修复了早就该被注意到的安全漏洞的结果。
Face ID 在每次解锁失败,而用户又正确输入密码后,Face ID 会通过机器学习记录这次成功解锁的面部特征,这称为一次「特征训练」。训练的次数越多,Face ID 会对“你”的面部特征越了解。这也是为什么很多人戴医用外科口罩解锁多次后,突然有一天发现 Face ID 居然可以识别自己戴口罩的样子成功解锁了。
前一阵子「腾讯安全玄武实验室」发布了教程,配戴一半口罩录入 Face ID 然后可以成功让 Face ID 解锁手机,其实这种方式的成功率并不高,我也不太清楚为什么玄武“安全”实验室要发布这样的教程。其实这种教程会让 Face ID 的安全性大打折扣,牺牲隐私安全换取便捷的做法并不提倡,所以我从来没有在任何平台宣传这个教程。
Face ID 在设计当初就考虑到了面部被遮挡的情况是不允许录入 ID 的,但是 Apple 没有考虑到会有人天天佩戴口罩去解锁手机。
因此,佩戴口罩成功解锁 iPhone,以及让 Face ID 学习佩戴口罩的面部特征根本不是 Apple 希望发生的,Apple 将这种现象评估为安全漏洞。
iOS 13.5 b3 的推送就是针对这一安全漏洞的修复,这意味着当你面部遮挡时,Face ID 不仅无法被录入。就算用了上面提及的教程成功录入,解锁的时候 Face ID 也不会将你被遮挡的面部特征作为本次特征训练。
总结
当 iOS 13.5 正式版发布后,你很可能再佩戴口罩使用 Face ID 解锁,当然还要看 Apple 后续怎么调整优化。
腾讯安全玄武实验室 的教程时牺牲了隐私安全换取最大的便捷,而且我觉得这种事情不应该作为教程来让用户尝试,我不知道应该怎么说。
而 Apple 在“隐私安全”和“便捷”上选择了平衡。