越南研究人員已經(jīng)破解了臉部識別技術(shù)，該技術(shù)被用于聯(lián)想，華碩，東芝最新型號的筆記本電腦中以實(shí)現(xiàn)最高安全級別，研究人員計(jì)劃在下周的黑帽會(huì)議（BlackHatDC）上進(jìn)行演示。一位越南研究人員將在下周的黑帽會(huì)議上演示他和他的同事們?nèi)绾屋p易地欺騙和繞過生物識別系統(tǒng)，該系統(tǒng)通過掃描用戶的臉部來驗(yàn)證用戶身份。

研究人員破解了嵌入在聯(lián)想，華碩，東芝筆記本電腦中的生物識別身份驗(yàn)證，他們僅僅使用一個(gè)授權(quán)用戶的照片，然后通過偽造的面部圖象來進(jìn)行暴力破解。他們成功地繞過了聯(lián)想的VerifaceIII，華碩的SmartLogonV1.0.0005，以及東芝的人臉識別2.0.2.32系統(tǒng)，而且每一個(gè)系統(tǒng)都被調(diào)到了最高安全級別。破解顯示出這些系統(tǒng)中的漏洞，可以讓黑客利用偽造合法用戶照片來欺騙它們，從而獲得對筆記本電腦的訪問權(quán)限。

這些WindowsXP和Vista的筆記本電腦都通過內(nèi)置式網(wǎng)絡(luò)攝像頭使用臉部識別技術(shù)。這種形式的認(rèn)證被認(rèn)為比指紋掃描更便捷，也比傳統(tǒng)密碼更安全。該軟件掃描用戶的臉部，然后存儲圖象和臉部特征。然后用戶可以通過掃描他/她的臉，與圖象數(shù)據(jù)進(jìn)行對比后實(shí)現(xiàn)登錄。

研究人員能夠繞過不僅僅是采用授權(quán)用戶照片的的認(rèn)證系統(tǒng)，而且可以創(chuàng)造出各種偽造的臉部圖象?！笆褂眠@個(gè)機(jī)制的三個(gè)廠商沒有達(dá)到一個(gè)認(rèn)證系統(tǒng)所必需的安全要求，而且它們也不能完全保護(hù)它們的用戶不被篡改，”研究人員在個(gè)破解論文中寫道。

其中一名研究人員，NguyenMinhDuc是越南河內(nèi)科技大學(xué)BachKhoa網(wǎng)絡(luò)安全中心的應(yīng)用安全部經(jīng)理，他聲稱將在黑帽會(huì)議上演示破解過程，以及他和他同事開發(fā)的利用工具。

“沒有辦法可以解決這一漏洞，”Duc稱?！叭A碩，聯(lián)想，東芝必須從它們所有型號的筆記本電腦中去除這一功能......[它們]必須對世界各地的用戶建議停止使用這個(gè)[生物識別]功能?！?/P>

攻擊者可以修改和調(diào)整偽造照片中的燈光和角度，以確保這些系統(tǒng)可以接受它。研究人員的論文稱“由于黑客不知道系統(tǒng)學(xué)習(xí)所得的臉部是什么樣子，所以他必須創(chuàng)造出大量的圖象......我們稱這種攻擊手段為“臉部偽造暴力攻擊”（FakeFaceBruteforce），利用目前所有的各種臉部編輯程序，可以很容易進(jìn)行這種攻擊。”

“當(dāng)我們研究這些算法時(shí)發(fā)現(xiàn)，它們都是利用圖象處理，工作在已經(jīng)數(shù)字化的圖象之上。因此，我們認(rèn)為這就是臉部識別系統(tǒng)，尤其是這三個(gè)廠商所提供的訪問控制系統(tǒng)中最薄弱的安全環(huán)節(jié)。”

著名動(dòng)物群的機(jī)器學(xué)習(xí)專家稱，生物識別技術(shù)包含指紋識別、眼部視網(wǎng)膜識別、虹膜識別、聲波紋理識別、臉譜識別和手部特征識別等眾多技術(shù)，這次被破解的只是臉譜識別技術(shù)，屬于生物識別技術(shù)中安全性較低的類別，目前很多廠商使用的臉部圖象還只是二維或者2.5維，這樣的精確性會(huì)更加低。

實(shí)際上，生物識別技術(shù)的很多算法是基于統(tǒng)計(jì)學(xué)理論，這就使它不可避免的出現(xiàn)誤差，即使是公眾最熟悉的指紋識別技術(shù)，準(zhǔn)確率也不能達(dá)到100%。專家稱，作為實(shí)用的識別算法，不但要考慮安全性問題，還要考慮識別效率，用戶不可能接受很長的識別時(shí)間，所以廠商只能使用一些速度較快但犧牲一些準(zhǔn)確性的算法來達(dá)到要求，這就造成了算法潛在的安全問題。