Face ID 隐私 与 Apple Pay 交易数据 “同根同源”,黑客要赚翻?
编者按:Fast Company 的文章 Here’s How Apple Says It’ll Protect You In The Age Of Face ID 报道称,苹果更新了其隐私政策页面,增添了许多新的外观和描述。在该页面中,苹果一再强调自己注重保护用户隐私。
但是问题来了:该页面显示,iPhone X A11 处理器有个叫“安全飞地”的地方,Face ID 和 Apple Pay 的用户隐私都存在那里,用户面容和交易数据都“捆绑”在同一个地方,确定是个好主意?这是否会加大黑客入侵的兴趣?
先来看看苹果是如何描述它的隐私政策的。
该页面其中一小节表示,在保护用户方面,苹果运用了“差异化”隐私政策的新技术,可以让用户的数据和资料“匿名化”,以便苹果在不获取用户隐私的情况下了苹果的各项服务情况。通过这种方法,苹果可以知道用户喜欢什么样的 emoji 表情,以及哪些自动打字修正的建议最常用。
Face ID 的原理
苹果表示,之所以会发布本次更新,只是考虑到已两年没更新隐私信息,与 Face ID 等新功能没有关系。
不过,苹果的确发布了一份白皮书,提到了关于 Face ID 的隐私保护问题。
有用户担心 Face ID 掌握了自己的大量面部细节,会导致隐私泄露。还有用户认为,苹果把用户隐私寄托在这样一个不成熟的技术,是很冒险的行为:仿造面容和仿造指纹到底哪个更容易些?
在白皮书中,苹果对这些质疑做出了解释。苹果表示,Face ID 保护用户面部隐私的方法和 Apple Pay 保护用户的资产、交易数据有着类似的原理。Face ID 进行刷脸认证时,iPhone X 前置摄像头会发出三万条微小光束,共同构建用户的 3D 面部模型。每一条光束(包括光束与面部的交点)都会以数字的形式储存。把这些代表光束的数字提出出来,就构成了用户面部轮廓独一无二的数学表达式。
与 Apple Pay 一样,这些数字储存在 iPhone X A11 处理器内一个叫“安全飞地”的地方。用户下一次刷脸解锁或认证 Apple Pay 的时候,手机就会把存储的数据和新扫描的用户面部数据进行匹配,从而辨别真假。最重要的一点是,连苹果公司都无法查看到这些储存在 A11 内的数据。
此外,iPhone X 还采用“神经引擎”识别用户的面部,用户不管是换发型、戴眼镜,哪怕是一夜宿醉面部松垮,依然可以准确识别。“神经引擎” 也储存在A11 处理器内的“安全飞地”,因此不怕遭到入侵。
百分百安全?不存在的!
不过,没有什么技术是完全没有任何风险的。Cooper Levenson 律师事务所安全专家和律师 Peter Fu 担心,很多用户会误以为随机破解率为百万分之一的 Face ID 是绝对安全的。
Peter Fu 表示,Face ID 是新的验证方式,但是这背后的安全基本架构是一致的。储存用户面部数据和指纹数据的,是同一个地方,都是苹果手机的处理器。但从安全角度考虑,更保险的做法是换一个全新的地方储存 Face ID 的数据。
此外,把用户的 Apple Pay 交易数据和 Face ID 面部数据放在同一个地方(A11处理器),意味着黑客会加有利可图。这也是一个安全风险。
编译组出品。编辑:郝鹏程
