web-dev-qa-db-ja.com

Androidの顔認識はどの程度安全ですか?

Androidでは、顔認証を使用してスマートフォンのロックを解除できます。そのメカニズムはどの程度安全ですか?

たとえば、誰かがあなたの顔の質の良い写真を持っている場合、その写真を電話にかざすことで顔認識スキームを打ち負かすことができますか? Androidメカニズムには、「活性」をテストする方法が含まれていますか(つまり、人間の写真だけでなく、生きている人間がいること)。

Android顔認識ロック解除への攻撃を説明するおしゃべりセッショントークを見たことを覚えています。この攻撃は、ユーザーの顔の写真を開始することで機能しました。次に、写真のコピーを作成し、ペイントを使用しましたユーザーの目が閉じているように見えるように変更します(まぶたが閉じているのをシミュレートするために目の上に肌の色をペイントすることにより)。最後に、コンピューター画面にこれらの画像を表示し、人が瞬きしているように見えるように設計された順序で交互に表示しました、そしてコンピューターの画面に電話を向けました。私が正しく理解している場合、これはいくつかの活性テスト(電話が点滅に基づいて活性を検出するテスト)を無効にすることを意図していました。スピーカーはこの攻撃が機能したと主張しましたが、これ以上覚えていません詳細:この攻撃は(もしそれが機能したとしても)Android=電話で機能しますか?あるいは、他の既知の攻撃はありますか?

これが私がこれまで読んだものです。アイスクリームサンドイッチ(Android 4.0)にFaceLockが導入されました。ジェリービーン(Android 4.1.1)は、 "Liveness Check"を導入しました 目が点滅するかどうかをチェックします 。私は Liveness Checkがなければ、静的な画像を長押しすることでFaceLookを回避できると主張している であり、Liveness Checkは上記で概説したトリックによって無効にできることを発見しました。 (ここに ビデオ 攻撃を示します。)これはまだ機能しますか?心配するべき他の脅威はありますか?

authenticationmobileandroidbiometricssmartphone
19
D.W.

あなたはすでにAndroid=で顔認識が簡単に回避されることを確認するのに十分な研究を行っています。研究者が画像を使用してそれを打ち負かすことができた(私は現在リンクを見つけることができません)と読みました似たような人物であり、実際の人物ではありません。顔認識が限られたリソースのデバイスで機能することを期待していて、ほんの一瞬で機能することが期待される場合、それは難しい注文です。私は最終的にはそこに到達するでしょうが、今のところ強力ではありません。

完全に除外する前に、何を保護しようとしているのかを検討する必要があると思います。ほとんどの電話は、闇市場で販売されるという明確な目的のために盗まれ、それらに関する情報のために盗まれることはありません。ほとんどは、誰もデータを取得しようとせずにワイプされます。泥棒は、電話のロックを解除できるようにするために、どういうわけか犠牲者の正しいポーズで高品質の写真を取得する必要があることを考えると、難易度バーが上がるため、顔認識は多くの人々にとって「十分」なセキュリティであると思われます十分。

攻撃者が誰かの電話へのアクセスを本当に望んでいて、所有者の写真を撮る時間とリソースがある場合、顔認識によってアクセスが妨げられることはありません。したがって、誰かが本当に望んでいる情報がスマートフォンにある場合、またはその情報を保護するために注意を払う義務がある場合は、顔認識を使用しないでください。お使いの携帯電話に興味がない場合は、それを使用してみませんか?

14
GdD

顔認識は率直に過大評価されています。それはハリウッドへの逆戻りのようなものです。

私にとっての主な弱点は次のとおりです。

  • 前述のように、多くのフォームは静止画像で無効にすることができます
  • 点滅をチェックするフォームでも、静止画像から生成された適切に準備されたビデオに失敗することがあります
  • 静止画像と動画の両方に対してセキュアなフォームは認証に時間がかかり、Androidデバイスのような家電製品には非常に適していません。
  • 誰かに強制的にロックを解除させる(たとえば、ビデオ通話を使用する)ことは少し簡単すぎるため、高度なセキュリティアプリケーションには適していません。
  • 強迫アクセスシステムへの簡単なルートは許可されていませんが、強迫パスワード、ピンなどはすべて比較的簡単に実装できます。

私にとって、それは電話でのすてきな仕掛けですが、それはすべて「私の声はパスポートであり、私を確認する」スタイルのセキュリティです-少しロマンチックで、過大評価すべきではありません。せいぜい低セキュリティオプションです。

ただし、どのようなアプリケーションでも適切に考慮される場合、認証のための素晴らしい追加要素を形成する可能性があります。セキュリティのすべてと同様に、それは適切な問題に対する適切なソリューションの問題です。私は家でそれを確保しませんが、それで私の冷蔵庫を確保するかもしれません;)

3
Owen

Androidの顔認識は有名なものよりも安全です

1234
0000
...

パスワード。

これは、他の形式の4桁の番号パスワードよりも弱いです。

さらに、個人的な写真のすでに公開されている説明を増幅し、それにより攻撃面が大きくなるため、これは大きなリスクです(まったく重要ではなかった場所:Facebookはこの分野のリーダーです)。したがって、すべての生体認証技術として、これは
リスクの改善

1
dan