- 作者|李岳昆、衡心
- 信息收集|李岳昆、衡心
1. 人脸识别安全新闻层出不穷
近日,清华大学人工智能研究院成立的RealAI团队使用“一台打印机、一张 A4 纸、一副眼镜框”成功破解了19款安卓手机的人脸识别解锁系统,同时还包括十余款金融和政务服务类App。该团队表示无论高端机或低端机,攻击这些手机的难度几乎没有任何区别,全部秒级解锁,至于如何实现解锁,RealAI团队表示非常简单:
-
RealAI 团队共选取了 20 款手机,1款苹果手机,剩余19款均来自排名前五的国产手机,从高端机到低端机全面覆盖。
-
在20部手机中统一录入同一位测试人员的人脸验证信息。
-
将测试人员眼睛部位的照片打印出来,通过算法在眼部区域生成干扰图案,再将处理后的照片贴在眼镜框上完成对抗样本眼镜的制作。
-
另一位测试人员使用该对抗样本眼镜不到一秒就成功解锁手机!
RealAI团队解锁示范|搜狐快讯@书圈
你以为只是手机解锁就结束了吗?可没那么简单,该团队还表示:“顺利解锁手机其实只是第一步,我们通过测试发现,手机上的很多应用,包括政务类、金融类App,都可以通过对抗样本攻击来通过认证,甚至我们能够假冒机主在线上完成银行开户,下一步就是转账。”想不到智能手机的人脸识别系统如此脆弱,RealAI团队的研究人员都觉得不可思议,同时,为了进一步验证这次实验不是巧合,清华大学的研究机构又进行了不同国产手机、不同人脸信息的测试,结果令人欢喜令人忧,果然跟预想中的一样实现秒级解锁,甚至包括手机里的各种应用、各种数据都能被测试人员自由操作,可想而知,如果手机落入不法分子手中,还有什么安全可言!
去年10月28日,国内人脸识别第一次被公开讨伐上了热搜,一位大学教授把一家使用了人脸识别认证系统的公园告上了法庭,原因是该公园在未征求游客意见情况下,将之前的指纹入园认证改为人脸识别认证。
中国人脸识别第一案|新浪微博@新京报
2. 人脸识别技术已被广泛应用
为什么人脸识别系统已经悄无声息地进入了社会的各个角落?讲到这里,关于人脸识别技术本身,我们先做一个小科普:
人脸识别技术是基于人脸的位置、大小和面部器官的位置信息进一步提取人脸所蕴含的身份特征,并将其与已知人脸进行比对,从而识别每个人脸的身份,基本流程可以参考下图:
人脸识别基本流程|知乎@MaxSam
近些年,随着人脸识别技术的成熟,人脸识别在“互联网+政务”领域得到了广泛应用;刷脸支付对于消费者来说方便快捷,不需要掏出手机扫二维码,告别繁琐操作,对于商家来说一方面为了满足消费者体验需求,更好引流,另一方面又可以节约人工成本;门禁系统使用人脸识别可以快速识别黑名单人员,高效又精准。
使用人脸识别,其优势在于自然而又不易被察觉的特点。所谓自然,是指它和人类(甚至其他生物)进行个体识别时使用的生物特征相同。而不易被察觉,会使其不令人反感,同时由于不易引起注意而不容易被欺骗。于是,人脸识别作为身份识别中高效且自然的应用方式,被广泛应用到社会的各种现实场景,如门禁系统、电子护照/身份证、公安司法刑侦系统、自助服务与信息安全等,也就不难理解了。
3. “刷脸”真的安全吗
然而,随着人脸识别的不断发展,其作为AI行业领域的一大热门方向,逐年扩大适用范围的同时,其安全性如何也成为了人们所关注的话题。
人脸数据库安全——现在我们在很多场景,会利用人脸识别代替指纹、密码等方式进行认证和设备/应用解锁,但值得注意的是,当我们授权这么做的同时,也将我们的人脸数据和姓名、手机号、身份信息等进行了绑定,换句话说,当我们的人脸数据泄露,所绑定的其他信息也可能随之被盗用。同时,当我们给厂商授予我们的人脸数据时,要是商家不合理使用或者被不法分子窃取,其将可能引发恶意骚扰、人肉等威胁事件,甚至是实施大规模监控、定点跟踪犯罪等恶劣行径,而作为当事人的我们,却浑然不知。
人脸数据泄露|头条@数据派THU
人脸图像捕捉安全——现在某些手机品牌,其产品的摄像头可以不分昼夜快速而清晰地捕捉到人脸。这既为用户带来方便和舒适,同时也给不法之徒漏出了作案之机,比如正在面对屏幕购买商品,确认订单过程中还在阅读优惠信息时支付已经完成了,正是由于人脸信息瞬间就捕捉成功了,无感快速支付有可能成为技术监管的漏网之鱼。
人脸识别授权流程安全——在一些设备和应用的人脸识别授权流程中,诸如苹果手机、某宝支付环节等,设置人脸识别功能界面时,点击更换人脸,并不需要原设置的人脸进行刷脸,仅需开机/登录/支付密码即可重设人脸。这样的操作漏洞,让人们不能放心完全使用人脸进行所有的设备/应用保密管控,例如有身边亲近的人或者不法分子盗取了个人密码账号等,有机会就直接利用密码去修改人脸信息导致支付环境受到威胁甚至遭受财产损失。
4. 人脸识别安全应对措施
人脸识别技术现今已有大量的软硬件设备投入,但在安全保障方面还仍有待于提升,对于日常生活中基于人脸识别技术产品的使用我们必须要提高安全意识,警惕人脸信息的滥用,毕竟在很多情况下,人脸信息可能都是在未经我们授权或被迫的情况下采集的。所以采集者是否有权采集,是否经得被采集者的授权、采集后的管理是否安全、使用是否合法等各个环节其实都应该得到确认和保护。但仅仅是我们用户提高警惕,谨慎授权是没有用的,最重要的还是需要通过完善立法和强化监管,让人脸识别技术更加规范,对于一些商业组织在征集用户人脸信息时,应该告诉用户使用目的和风险,并保障收集到的人脸信息不被用于其它途径,保护用户信息不被泄露以及滥用。
最后,
涉及个人隐私、财产等重要信息的场景下,建议大家启用多重认证方式!!!
涉及个人隐私、财产等重要信息的场景下,建议大家启用多重认证方式!!!
涉及个人隐私、财产等重要信息的场景下,建议大家启用多重认证方式!!!