「搶成狗」的果粉，你們知道iphoneX的這個重大風險嗎

今天，蘋果手機新一代機型iphoneX正式開賣。

網友曬出的iphoneX到貨圖

北京和上海兩地蘋果店門庭火爆，已經有首批預定成功的「果粉」曬機炫富。店員挨個詢問排隊的人，建議沒有預約的人不用繼續排隊了，店裡沒現貨。

有恨恨的網友摸著腎說：「開始都說丑，發布搶成狗」。

看來，這回蘋果卯著勁給iphoneX上的兩項創新——全面屏與Face ID（人臉識別），還是給大家帶來了新鮮感。自喬布斯離世後，從iphone6到iphone8，蘋果手機不斷在玩弄著臉大臉小的遊戲，缺乏讓人眼前一亮的突破式創新。再不給用戶整點新鮮的，庫克這個CEO當得怎麼樣也說不過去。

雖然這兩項技術也不怎麼新鮮了，比如人臉識別就是北京天壇公園廁所玩剩下的，目的是防止有些大爺大媽去偷廁紙。

可以說，庫克這麼著急把人臉識別加在iphoneX身上，業界普遍是懷疑的，主要的質疑來源於人臉識別的安全性。

雖然蘋果官方表示，Face ID被其它人解鎖的概率只有1/1,000,000，Touch ID指紋識別為1/50,000。但就在開賣前一天，一則國外媒體的試驗在網路上流傳。兩對雙胞胎中一位註冊面部數據，再將手機交給另外一位，驗證Face ID是否能順利解鎖。

結果是秒破！

iphoneX根本防不勝防。

這就不好辦了，要是手機被跟刀哥長得特別像的人撿到怎麼辦？

而上個月在上海舉辦的「2017國際安全極客大賽」里，一個90後妹子只用兩分鐘就打破了人臉識別系統的安全人設。

由於Face ID同時兼具面部識別支付功能，讓很多人還沒拿到新機就腦補了段子。

萬能的某寶立即想到了解決辦法。

在一片惡搞的歡樂的海洋里，大家對人臉識別的好奇心不斷抬高，都忘記了這項尚不成熟技術存在的安全性風險。

這或許正是蘋果想要達到的目的。

風險

嚴肅地說，人臉識別的風險性到底在哪？

像人臉識別這樣，通過計算機，利用人體固有的生理特徵來進行個人身份鑒別的，統稱為生物識別技術。目前被應用於實際領域的有指紋、人臉、虹膜、靜脈等。

在商家的宣傳中，人臉的安全性大於指紋，指紋又大於密碼。因為你的臉具有唯一性，沒有人可以通過盜用密碼的方式代替你去解開手機。但從反方向去想，這種唯一性同時也是最大的不安全。

雖然人臉是獨一無二的物理特徵，但是對於計算機而言，這些特徵就是一串0和1組成的數字，或者說是一串密碼。目前我們不清楚這些信息是否會被存入雲端的資料庫，或被存儲於手機上的某個可被外界破解的存儲器中。如果確實是這樣，那麼在目前的網路安全形勢下，相關數據就存在因為被黑客攻擊而泄露的可能性。如果出現這種情況，以這類特徵為基礎的支付體系就會崩塌，就算是配上支付密碼，也無濟於事。

一旦人臉信息泄露，後果無法挽回，普通密碼被盜你還可以重新改，而人臉信息被盜用，你是不可能靠整容來改密碼的。

而且，相比虹膜，人臉更容易被複制。就在去年8月，美國北卡羅來納大學的一個研究團隊從臉書上收集到了一些人臉照片，利用電腦合成和渲染後生成了平面化的3D模型顯示在手機上。他們利用這個模型測試發現，有高達4/5的被測安全系統在55%到85%的被測時間內，都可以被輕鬆騙過。而且他們在臉書上能收集到的照片很有限，質量也沒保證，有些還只是45度角的側臉。

另一層面的風險是，你根本不知道這些企業收集用戶偏好、指紋、人臉數據背後的真實目的，用戶也無法監管這些信息的用途去向。

馬雲曾說阿里巴巴本質上是一家數據公司，做淘寶的目的就是為了獲得所有零售的數據和製造業的數據。iphoneX上市前後，我們沒法得知蘋果是否已經歷、是否已通過官方授權機構的安全審查，更看不到與這些生物特徵識別相關的技術、安全分析報告。

有人可能會說，蘋果已在我國貴州等地建立數據中心，資料庫的本地化會大大緩解網路安全矛盾，但這只是看到了問題的表面。蘋果操作系統作為一個專有軟體，既不開源，又是由蘋果一家嚴格控制，他人當然無法得知技術細節。

教訓

無論是個人還是國家，將數據拱手讓人的後果有多可怕，刀哥給你說個例子。

印度有13億人口。但自１９４７年獨立以來，全國至今沒有統一的國民身份證制度。任何身份證明文件，護照、投票卡、駕照、學校教職員證、學生證、信用卡或公司識別證，都可以作為個人身份證明使用。

身份證制度的混亂造成了社會管理的混亂。由於社會福利與身份證捆綁，導致大量福利救濟無法精準投放給貧困人口，倉庫里滿是霉變腐爛的糧食，其中相當一部分還沒來得及送達飢餓的民眾口中就被抽調給了私人市場。一些人偽造證件冒領福利，也催生了腐敗。總人數超過一億無身份流動人口，也是潛在安全隱患。

為了解決這個問題，2010年開始，印度啟動世界上最龐大最複雜的身份識別系統（Aadhar計劃），一個個村莊部落的收集生物識別信息採集，包括虹膜、十指指紋和照片。由此給每個居民提供唯一的12位身份證明編號。編號與手機號和銀行賬戶綁定。政府也可直接向每個公民提供補貼、醫療、社保、培訓、就業等服務。

由於這個計劃號稱身份信息詳細程度世界第一。印度當時，呵，可是揚眉吐氣。印度國大黨主席索菲亞·甘地誇口說，這是「新印度」的開始。而一些中國網民也激動起來，把這個系統當做印度制度優越性的體現。比如「印度的身份證比中國起點高，不服不行」，或者「震撼！從身份證設計看印度朝氣蓬勃的發展潛力！」

刀哥當時就懷疑，以印度政府的執行力和嚴密程度，資料庫綁定的電信運營商又都是私營的，能保證數據安全么。

果不其然，由印度首富穆克什·安姆巴尼創建的4G服務運營商Reliance Jio今年7月遭遇用戶數據外泄事件，超過1億用戶的個人資料（包括Aadhaar號碼）被泄露在網站上。

刀哥曾詢問一位印度問題專家，如此大規模的外泄事件，有沒有在印度社會造成大規模反應。答案是並沒有，印度許多貧困人口連平日溫飽也無法保證，哪有精力和能力去過問自己的身份信息安全呢。

唉，也是。

困局

但刀哥也知道，勸你們是勸不住的。

印度發生的故事已是兩個月前的「舊聞」，人臉識別技術的風險此前亦有業界專家提醒警示。可這並沒有阻擋「機油」們對iphoneX的熱情。據此前消息，iPhone X 的預購量已「創歷史新高」。而蘋果周四發布的新一季度財報顯示，中國區營收同比增長12%，環比增長22%。他們將中國市場看作未來增長的關鍵。

為什麼我們看到警告依然趨之若鶩？

仔細想一想，從在手機上劃九宮格到指紋解鎖再到面部解鎖，我們真的如此珍視那節省下來的0.1S么。大多數人恐怕還是因為面部解鎖比指紋解鎖更新奇、好玩。

智能手機發展到今天，其技術創新已經陷入瓶頸。在激烈的市場競爭中，各大廠商又不得不在沒有顯著技術突破的情況下每年硬著頭皮推出一部旗艦機。由於消費者更換新機型的慾望在逐年降低，廠商沒法創造新需求，就只能創造新趣味。讓好玩成為暫時成為替代好用的一招殺手鐧。

另一方面，由於各廠商的強勢，個體消費者在信息上傳方面其實也是被迫的、別無選擇的，不按照要求上傳各種數據，就享受不到手機和應用的服務。

好玩的誘惑加上軟性的逼迫，使我們在某種程度上與一億印度人有一樣的信息安全麻木。

最近網上有消息，已經有實體服裝店與人臉識別技術公司合作，在店門口安裝人臉識別系統，以紀錄每個消費者的喜好和習慣。這樣的店家有沒有在店門口提示消費者？消費者的個人數據又保存在哪裡呢？

這些掌握在大小公司手中的生物信息資料庫，在現在的網路安全環境下，如果被黑客攻擊，並利用人工智慧進行牟利和破壞，就是網路恐怖襲擊。

從國家層面看，如果敵對國家掌握了我國公民的「數字化生物特徵信息」，通過大數據分析就可輕易掌握上網公民的身份信息，進而建立起他們感興趣的要害人員個人檔案，對國家安全的破壞性效果讓人不寒而慄。

想到這些，拿著iphoneX的你，心慌么。

推薦閱讀：