幾天前，一個朋友告訴我，他不小心破解了三星S8手機的瞳孔、人臉識別。

　　我很驚訝，趕緊問他怎么做到的?結果下一秒他的回答讓我懷疑是在吹牛。

　　把照片打印在A4紙上就行啊。

　　他說。

　　Whaaaaaaaaaat?你在逗我? 這是我當時的反應，差點和他打賭一頓燒烤。

　　慶幸沒賭。

　　他叫小灰灰，是百度安全實驗室的技術小哥。

　　2017年10月24日 GeekPwn極棒破解大會現場，他在主持人黃健翔、兩位評委以及眾多觀眾的見證下，把一個三星S8手機塞進一個紙箱子里，該手機已被現場評委用人臉識別鎖定。

　　當他再次把手伸出來時，手機已經解鎖。

　　全場掌聲轟鳴，因為箱子里真的只放了張A4紙，上面打印著經過他特殊處理的評委照片。

　　GeekPwn破解現場↑

　　同樣看起來技術含量很高的虹膜識別，小灰灰手里也只用了另一張打印的A4紙晃了晃就解開。

　　“還有這種操作?你這樣讓設備廠商情何以堪吶……”會后我找到他，試圖挖出“兩張A4紙破解生物識別”背后的秘密。

　　Let's Rock

　　1.為啥用兩張紙就能破解生物識別?我隨便打印兩張也能嗎?

　　先說三條關于生物識別破解的鐵律：

　　生物識別一定要用傳感器來采集生物信息;

　　手機上采集生物識別信息的無非就是攝像頭、指紋傳感器什么的，采集回來一張圖片，和你之前錄入生物信息時形成的圖片(算法特征)比對;

　　即使同一個人，兩次錄入的數據也不一定100%相同，所以電腦會做給相似度打個分，達到一定分數就通過，沒達到就不通過;

　　理解了上面三條，你就明白，所謂“破解生物識別”，無非就是個“欺騙傳感器”的游戲。

　　想要破解馬云手機里的人臉識別，未必自己要整容成他的樣子，只要讓攝像頭捕捉到一個圖案，誤認為是馬云本人就行。

　　好，現在我們用這個原則開始破解。

　　第一彈：虹膜識別

　　虹膜識別看起來很高端，但負責采集的傳感器終究還是個攝像頭，采集到的也無非是張2D圖片。

　　圖片來自網絡 ↑

　　所以，只要攝像頭捕捉到一張和被攻擊者的虹膜差不多的圖案，就能破解。

　　理論上，如果運氣夠好，切個胡蘿卜破解瞳孔識別也不是沒可能，只是幾率比中福利彩票的概率還小。

　　怎么得到一張能騙過攝像頭的虹膜圖案?小灰灰的方法簡單粗暴，直接用相機去拍 —— 既然手機就是用攝像頭來采集虹膜，當然就能用相機拍出來的圖案來破解。

　　為了讓虹膜上的特征點和紋路更清晰呈現，并且更接近真實檢測的效果，小灰灰改造了一臺紅外相機。

　　圖片來自網絡 ↑

　　據小灰灰透露，如果配置夠高，使用長焦鏡頭和高清紅外相機，10米左右的正面拍攝就能捕捉到清晰的虹膜圖案。

　　即使相機配置不高，攻擊者也可能用一些取巧的方式采集虹膜圖案。比如把設備改造到一個VR眼睛里，讓對方戴一會兒。

　　現場評委戴上被改造的VR眼鏡 ↑

　　隨后，對采集的圖片進行一些特殊處理，比如在圖像上做個透明隱形眼睛效果，偽造出眼珠子圓溜溜的立體光學特性，打印出來，放在手機攝像頭前晃一晃，制造出眼球微動的效果，就能騙過攝像頭，破解虹膜識別。

　　經小灰灰PS過的虹膜照片 ↑

　　第二彈：人臉識別

　　人臉識別的原理，也是攝像頭采集一張2D圖案，通過對比特征點來實現。

　　小灰灰發現，昏暗環境下，由于手機本身拍攝到的圖案不如白天清晰，為了保證夜間人臉識別體驗，一些手機會將人臉識別的“嚴格性”調低。

　　這就好比原本60分及格的試卷，現在50分就能及格。

　　根據這個原理，小灰灰對現場拍攝到的評委的照片進行了明暗度、對比度和噪點相關特殊處理，模擬出手機攝像頭夜間拍攝的效果，打印出來后，放在昏暗的地方(比如現場的紙盒子里)，攝像頭就很難分辨真假。

　　現場用PS對圖片進行處理 ↑

　　第三彈：指紋識別

　　嗯……沒錯，除了人臉虹膜，他把指紋識別也破解了。

　　其實小灰灰在極棒現場就嘗試過破解iPhone 6 的指紋識別，但由于大會現場環境等因素，演示并未成功。

　　會后他不緊不慢地給我演示了一遍，終于成功。我用手機錄了個簡單的視頻 ↓

　　他說，目前指紋采集模塊主要有光學、電容、射頻三種，手機上通常是電容型。

　　歸根到底，無論哪種采集方式，最終采集到的還是一張指紋圖案。

　　因此，只要采集到攻擊目標的指紋圖案，并把指紋圖案還原成傳感器需要的樣子就好。

　　現場，小灰灰把指紋采集器藏在一個電插板開關里，評委按下開關時，指紋就采集完成。

　　改造過后的插線板 ↑

　　改造過后的插線板 ↑

　　同樣，也可以把指紋采集裝置隱藏到電水壺開關等裝置里，也能采集大拇指指紋。

　　比如，這樣一個水壺，你拿它時會不會把大拇指按在上面? ↓

　　小灰灰表示，之后百度安全實驗室會就指紋識別破解進行具體技術分析，暫且不表。簡單來說就是，采集圖案、制作泡沫模具、進行導電處理，破解。

　　2.所以，在整個破解過程中，最難的地方在哪?

　　小灰灰：主要是確定基于傳感器和圖案偽造的攻擊思路。

　　前期我必須對各類生物識別手機傳感器采集規律進行摸索，想要騙過傳感器，就必須先弄懂它們到底采集了些什么，評判標準是什么，這樣才能準備相應欺騙內容。

　　比如，虹膜識別時，攝像頭會捕捉眼球動作和瞳孔縮放，這些都需要花時間研究才能知道。

　　在制作圖片和指紋泡沫時也有很多的細節，比如用打印圖案欺騙人臉識別時，要側著拍，避免手機屏幕光照在紙上產生反光等等……

　　3.這些被破解的設備，問題出在哪兒?

　　小灰灰：本質上來說，目前手機上的攝像頭只能采集到2D圖像，硬件設備的局限就注定了人臉、虹膜和指紋存在被 2D圖案破解的可能性。

　　直接原因是一些廠商在安全性上的妥協。生物識別的“嚴格程度”其實是可以調控的，為了照顧產品體驗，廠商會在采集環境不佳時(比如晚上)在安全性上做妥協。

　　所以百度安全實驗室也想借此機會，呼吁設備廠商在考慮產品體驗的同時多兼顧安全性。人的生物特征是有限的，手指就十根，臉就一張，虹膜就兩個，一旦被盜用了就無法更改，如今生物識別非常火熱，如果不注重這方面安全，未來可能導致嚴重后果。

　　其實在此之前，國外已經有利用紅外相機拍攝來破解虹膜識別虹膜的案例，但他們需要制作一個特殊的美瞳隱形眼鏡，佩戴在眼球上才能破解虹膜識別，這次只打印了一張A4紙，一些簡單的設備，就能騙過傳感器。

　　我希望通過這種低成本的破解，來推動生物技術的革新， 2D 人臉識別不夠安全，這不，搭載 3D 人臉識別的 Face ID 就來了。

　　后記

　　小灰灰的同事向我透露，上場前，其實他一度陷入自我懷疑，擔心別人覺得他使用的技術沒有什么門檻，沒技術含量，看起來很Low。

　　我忽然想起個老段子：

　　從前有一家香皂廠，生產線經常有香皂裝不進盒子，導致空盒售賣。

　　廠長問兩個技術員解決辦法，留學歸來的那個說，用X光檢測盒子里是否有香皂，再用機械臂把空盒夾出來，算下來預算大概兩百萬;另一個技術員聽后，端起一臺20塊錢的電風扇，放在流水線旁，空盒一下子就全被吹跑了。

　　在另一個故事里，小灰灰就是第二個技術員。

　　黑客一次又一次用破解演示的方式向人們警示危險，倒逼廠商改進和更換新技術，只不過這一次，他就用了兩張A4紙。

　　用最簡單的設備和工具，做最酷的事，這不就是極客嗎?

　　本文作者謝幺，科技作者，微信：dexter0