您當(dāng)前的位置：社會(huì)新聞>

被破解的“人臉識(shí)別”：“刷臉”究竟安全嗎？

海口網(wǎng)　http://6chong.cn　時(shí)間：2017-09-19 09:08

　　“人臉識(shí)別”的安全問(wèn)題已經(jīng)來(lái)了

　　調(diào)查動(dòng)機(jī)

　　9月13日凌晨，蘋(píng)果發(fā)布新品iPhone　X,新功能“Face　ID”尤為引人矚目。以后，無(wú)論是解鎖iPhone　X還是用其進(jìn)行支付，用戶只要看一眼手機(jī)就可以了。

　　此前，中國(guó)農(nóng)業(yè)銀行已在貴州省貴陽(yáng)市兩臺(tái)自助取款機(jī)上線“刷臉取款”，用戶站在ATM機(jī)前，看一眼攝像頭，再輸入手機(jī)號(hào)、取款金額、密碼，ATM機(jī)自動(dòng)吐鈔，用戶取走現(xiàn)金。據(jù)悉，該功能將在貴陽(yáng)進(jìn)行大面積覆蓋，今年年底在貴州實(shí)現(xiàn)全省覆蓋。此外，招商銀行也于2016年在全國(guó)106個(gè)城市近千臺(tái)ATM機(jī)上實(shí)現(xiàn)了“刷臉”取款。

　　不僅如此，多所高校在今年9月入學(xué)季嘗試了“刷臉”注冊(cè)；肯德基有餐廳上線了“刷臉”支付；“京東之家”有門(mén)店實(shí)現(xiàn)了“人即錢(qián)包”；甚至有公廁用上了人臉識(shí)別廁紙機(jī)，靠臉取紙巾；更別說(shuō)銀行的“刷臉”轉(zhuǎn)賬了。

　　一大波“刷臉”場(chǎng)景出現(xiàn)，當(dāng)不少人沉浸在“人臉識(shí)別”的驚喜中時(shí)，也有人發(fā)出疑問(wèn)：“刷臉”安全嗎？

　　“刷臉”的時(shí)代說(shuō)來(lái)就來(lái)。

　　最近一段時(shí)間，“人臉識(shí)別”技術(shù)在各地應(yīng)用的新聞屢見(jiàn)不鮮。繼北京天壇公園安裝“人臉識(shí)別”廁紙機(jī)后，8月31日，廣西壯族自治區(qū)南寧市一家公園也采用了“人臉識(shí)別”廁紙機(jī)；9月7日，江蘇省徐州市一家公共廁所同樣裝上了“人臉識(shí)別”廁紙機(jī)。北京市住建委9月8日表示，為解決保障房違規(guī)轉(zhuǎn)租轉(zhuǎn)借現(xiàn)象，繼去年在海淀區(qū)金隅翡麗小區(qū)推行“人臉識(shí)別”門(mén)禁系統(tǒng)試點(diǎn)基礎(chǔ)上，今年進(jìn)一步在全市所有公租房小區(qū)推廣。北京、武漢等地的火車(chē)站也開(kāi)始啟用“刷臉進(jìn)站”設(shè)備。

　　《法制日?qǐng)?bào)》記者在網(wǎng)上搜索發(fā)現(xiàn)，目前在門(mén)禁、考勤等方面應(yīng)用“人臉識(shí)別”技術(shù)已經(jīng)十分廣泛。然而，任何新技術(shù)都可能是雙刃劍。“黑科技”在帶來(lái)更多驚喜和便利的同時(shí)，其潛藏的安全隱患也不容忽視。

　　尷尬的使用體驗(yàn)

　　9月18日14時(shí)，《法制日?qǐng)?bào)》記者來(lái)到北京市通州萬(wàn)達(dá)廣場(chǎng)的京東之家體驗(yàn)“刷臉”支付。記者選中商品后來(lái)到支付柜臺(tái)，店員優(yōu)先推薦掃碼支付。在記者表明要體驗(yàn)“刷臉”支付后，店員勸道：“這個(gè)技術(shù)還不太成熟，步驟比較繁瑣，我們自己試了很多次，都不成功。之前也有顧客來(lái)嘗試，沒(méi)有支付成功?！庇浾邎?zhí)意表示愿意嘗試后，店員才指導(dǎo)記者通過(guò)京東App掃碼開(kāi)通了“刷臉”支付功能，但是最終卡在了支付頁(yè)面，無(wú)法付款。店員的電腦端也顯示記者沒(méi)有支付成功。記者隨后多次退出App程序，嘗試重啟進(jìn)入該功能，但都失敗了。

　　店員無(wú)奈地對(duì)記者說(shuō)：“之前京東相關(guān)人員也來(lái)看過(guò)這個(gè)情況，但還是沒(méi)辦法成功‘刷臉’支付。今天人比較少，我們可以一直等您‘刷臉’支付，要是人多的時(shí)候，一直不能支付成功的話，后面的顧客就煩了。”最后，記者只得選擇常規(guī)的掃碼支付方式才完成此次購(gòu)買(mǎi)。

　　同樣作為使用者的北京師范大學(xué)大四學(xué)生墨桑(化名)，對(duì)于“刷臉”的使用感受也是一言難盡。

　　今年秋季學(xué)期，北京師范大學(xué)在學(xué)生公寓換裝了新的門(mén)禁系統(tǒng)，“人臉識(shí)別”代替了之前的刷卡識(shí)別。更換識(shí)別系統(tǒng)后，學(xué)生進(jìn)入公寓需要對(duì)著攝像頭采集圖像，然后刷自己的學(xué)生卡，匹配之后才能進(jìn)入學(xué)生公寓。學(xué)生如果忘記帶學(xué)生卡，可以輸入學(xué)號(hào)的后四位，匹配成功也可以進(jìn)入公寓。

　　墨桑對(duì)《法制日?qǐng)?bào)》記者說(shuō)：“說(shuō)是化妝或者戴眼鏡都不會(huì)有影響，但是戴眼鏡的話，在錄入時(shí)要對(duì)戴眼鏡和不戴眼鏡的圖像各錄入一遍，傳說(shuō)‘親媽都認(rèn)不出來(lái)的時(shí)候，機(jī)器還能認(rèn)出來(lái)’?！?/p>

　　在墨?？磥?lái)，如果正常識(shí)別，速度還是挺快的，但并非每次都如愿?！叭绻麑W(xué)生卡、學(xué)號(hào)都不能夠與圖像識(shí)別系統(tǒng)匹配，還有最后一招，就是對(duì)著那個(gè)機(jī)器大聲喊出自己的名字。第三種開(kāi)啟方式讓我們很尷尬，雖然這種情況不多，但是已經(jīng)出現(xiàn)了”。

　　目前，北京師范大學(xué)的學(xué)生公寓有兩道門(mén)禁，第一道大門(mén)是“人臉識(shí)別”，第二道門(mén)類(lèi)似地鐵站進(jìn)出閘機(jī)，是刷卡識(shí)別加宿管阿姨辨別。墨桑說(shuō)：“‘人臉識(shí)別’聽(tīng)起來(lái)比以前安全很多，但是一個(gè)同學(xué)通過(guò)‘人臉識(shí)別’打開(kāi)大門(mén)后，后面的人和以前一樣，依然可以不通過(guò)識(shí)別直接跟著進(jìn)入。尷尬的是，在以前使用刷卡識(shí)別時(shí)，如果忘記帶學(xué)生卡，第二道門(mén)無(wú)法刷卡進(jìn)入，需要到宿管阿姨那里登記才能夠進(jìn)入?，F(xiàn)在，因?yàn)橛辛送饷娴摹四樧R(shí)別’,所以宿管阿姨管的就很寬松，只要從第一道門(mén)禁進(jìn)來(lái)了，宿管阿姨直接按第二道門(mén)禁的按鈕放行，不需要刷卡。不知道是不是每棟樓都一樣，這樣其實(shí)加大了外人混入公寓的風(fēng)險(xiǎn)。”

　　在便捷性上，墨桑說(shuō)：“識(shí)別系統(tǒng)本來(lái)就只是為了提高安全性的，不是為了更方便。雖然沒(méi)有做過(guò)調(diào)查，但是聽(tīng)同學(xué)說(shuō)安全性反而降低了，而且現(xiàn)在出公寓也要刷卡，談不上便利。也許以后會(huì)改進(jìn)，一次只放一個(gè)人進(jìn)入，不過(guò)這也太麻煩了?！?/p>

　　“我同學(xué)普遍覺(jué)得這個(gè)系統(tǒng)很雞肋，我現(xiàn)在覺(jué)得弊大于利，可能因?yàn)閯傞_(kāi)始不太適應(yīng)，說(shuō)不定以后會(huì)改進(jìn)。”墨桑說(shuō)。

　　雜亂的產(chǎn)品市場(chǎng)

　　和國(guó)外的“人臉識(shí)別”技術(shù)多應(yīng)用于安防領(lǐng)域不同，在我國(guó)，“人臉識(shí)別”技術(shù)主要應(yīng)用于企業(yè)的考勤門(mén)禁、物業(yè)小區(qū)的安全防護(hù)和金融領(lǐng)域的開(kāi)戶認(rèn)證等，其中金融領(lǐng)域的應(yīng)用占比較多。不過(guò)，目前比較常見(jiàn)的“人臉識(shí)別”技術(shù)主要出現(xiàn)在考勤機(jī)等應(yīng)用上。

　　《法制日?qǐng)?bào)》記者以購(gòu)買(mǎi)者的身份采訪了北京市一家專(zhuān)業(yè)從事“人臉識(shí)別”設(shè)備銷(xiāo)售的企業(yè)，并現(xiàn)場(chǎng)測(cè)試了一臺(tái)集“門(mén)禁”“考勤”為一體的多功能考勤機(jī)。

　　在現(xiàn)場(chǎng)，記者首先進(jìn)行人臉照片錄入，主要對(duì)人臉的眼眶、鼻區(qū)以及嘴部三塊區(qū)域進(jìn)行圖像采集。錄入之后，記者站在機(jī)器前進(jìn)行識(shí)別，只要一進(jìn)入攝像頭可照范圍之內(nèi)立即就被識(shí)別成功。不過(guò)，記者摘下眼鏡或者更換眼鏡以及調(diào)整眼鏡佩戴角度后，考勤機(jī)無(wú)法識(shí)別成功。此外，用照片比對(duì)，該設(shè)備依然無(wú)法識(shí)別。

　　據(jù)工作人員介紹，目前“人臉識(shí)別”考勤機(jī)的價(jià)位從數(shù)百元到上萬(wàn)元不等，價(jià)格越高，識(shí)別的精確度越高。記者測(cè)試的這款產(chǎn)品是最暢銷(xiāo)的千元機(jī)，只要臉部采集到的數(shù)據(jù)能吻合到六成以上，便能認(rèn)定是同一人。不過(guò)相對(duì)而言，由于采集時(shí)拍攝下來(lái)的一些特征相對(duì)單一，所以精確度也會(huì)受到影響。

　　記者還在淘寶通過(guò)搜索“人臉識(shí)別考勤”聯(lián)系上一家賣(mài)“人臉識(shí)別”考勤機(jī)的店鋪，并反復(fù)詢問(wèn)客服人員是否可以通過(guò)人臉的照片或者人臉視頻進(jìn)行打卡，客服都回答說(shuō)不可以。在該商品的問(wèn)答區(qū)，也有網(wǎng)友詢問(wèn)是否可以用手機(jī)上的照片或者視頻代替打卡，有一個(gè)購(gòu)買(mǎi)過(guò)該考勤機(jī)的網(wǎng)友回答說(shuō)自己試了，發(fā)現(xiàn)不可以。

　　記者隨后搜索“人臉識(shí)別鎖”，發(fā)現(xiàn)這類(lèi)商品品牌繁多。記者聯(lián)系了銷(xiāo)售量排名靠前的一家商鋪。在演示視頻中，記者看到，演示者利用人臉的照片和視頻嘗試多次都無(wú)法開(kāi)鎖。商家承諾稱，如果用戶在使用過(guò)程中發(fā)現(xiàn)可以用照片打開(kāi)，他們會(huì)賠償1萬(wàn)元。在商品的問(wèn)答區(qū)，已經(jīng)購(gòu)買(mǎi)的網(wǎng)友也表示自己嘗試用照片開(kāi)鎖，但沒(méi)有成功。記者詢問(wèn)客服人員，這個(gè)“人臉識(shí)別”鎖的原理和蘋(píng)果新發(fā)布的iPhone　X手機(jī)的Face　ID是否相同？客服人員稱，他們的鎖“采用面部3D骨骼識(shí)別技術(shù)，紅外掃描面部輪廓，化妝、燈光明暗、胖瘦等不會(huì)影響識(shí)別，可以開(kāi)鎖?！四樧R(shí)別’系統(tǒng)是取臉上很多個(gè)點(diǎn)，計(jì)算各個(gè)部位的點(diǎn)的距離。這個(gè)算法與是否化妝沒(méi)有關(guān)系，不影響識(shí)別。而且，在燈光暗的情況下也能識(shí)別，因?yàn)椤四樧R(shí)別’鎖有兩個(gè)帶有夜視功能的紅外探頭，只要把臉和手掌顯示在屏幕框內(nèi)，照樣可以識(shí)別開(kāi)門(mén)。小朋友身高達(dá)到1.3米的都可以‘刷臉’”。客服人員說(shuō)，“照片絕對(duì)打開(kāi)不了這把鎖，此鎖采用是3D骨骼識(shí)別技術(shù)，戴眼鏡的朋友請(qǐng)戴著眼鏡錄臉?；瘽鈯y、發(fā)型，都能準(zhǔn)確識(shí)別。另外，如果臉部整形動(dòng)了臉部三分之二的，就有可能識(shí)別不了，需要重新錄入?！?/p>

　　那么，使用3D仿真面具是否可以騙過(guò)“人臉識(shí)別”系統(tǒng)呢？對(duì)此問(wèn)題，客服人員沒(méi)有正面回答。

　　在問(wèn)答平臺(tái)“知乎”上，一位網(wǎng)友回答了“目前人臉識(shí)別技術(shù)最大的挑戰(zhàn)是什么”這一問(wèn)題，其答案獲得最高贊。這位網(wǎng)友告訴記者，淘寶上賣(mài)的“人臉識(shí)別”鎖不能保證絕對(duì)安全。記者詢問(wèn)這種產(chǎn)品是否有可能被3D仿真面具欺騙？這位網(wǎng)友說(shuō)，這種情況可能發(fā)生。

　　記者隨后在淘寶上搜索“3D面具”“乳膠面具”，發(fā)現(xiàn)這種產(chǎn)品也有不少，有的面具不僅改變了容貌，而且改變了臉部的骨骼結(jié)構(gòu)，戴上之后多有以假亂真的效果。

　　被破解的“人臉識(shí)別”

　　盡管“人臉識(shí)別”產(chǎn)品的客服人員聲稱一般不易被破解，但現(xiàn)實(shí)生活中已然出現(xiàn)了破解實(shí)例。

　　破解“人臉識(shí)別”的實(shí)例，要從一次網(wǎng)約車(chē)經(jīng)歷說(shuō)起。

　　一名市民通過(guò)網(wǎng)約車(chē)App下單。很快，車(chē)到了，但車(chē)輛、司機(jī)的信息均與手機(jī)客戶端上顯示的信息不符。為了趕緊回家，這名市民也顧不上太多，就直接上車(chē)了。結(jié)果，車(chē)開(kāi)出去不到一分鐘，司機(jī)就扭頭對(duì)這名市民說(shuō)要取消訂單。盡管這名市民一再拒絕，但司機(jī)還是堅(jiān)持把她送回原處，讓她重新打出租車(chē)。

　　沒(méi)有辦法，這名市民只能再次用這款網(wǎng)約車(chē)軟件叫車(chē)，結(jié)果發(fā)現(xiàn)來(lái)接他的還是那名司機(jī)。司機(jī)說(shuō)：“你要么就打個(gè)出租車(chē)回去，只要你還用這個(gè)軟件約車(chē)，叫到的還是我的車(chē)。”

　　這名市民當(dāng)時(shí)就納悶了，為什么會(huì)這樣？一番打聽(tīng)后，這名市民才知道，附近有一個(gè)由30多名“黑車(chē)”司機(jī)組成的車(chē)隊(duì)，每名司機(jī)都有一堆虛假的司機(jī)賬號(hào)，上百個(gè)虛假賬號(hào)由同一個(gè)人來(lái)統(tǒng)一接單，然后通過(guò)電臺(tái)調(diào)度車(chē)輛去接人。因此，不管用戶打到哪個(gè)號(hào)，都會(huì)調(diào)同一名司機(jī)去接人。

　　了解到這些內(nèi)情，這名市民更加不解，“這個(gè)網(wǎng)約車(chē)App上明明使用了‘人臉識(shí)別’功能來(lái)驗(yàn)證司機(jī)信息，為什么這些司機(jī)可以使用虛假賬號(hào)”？經(jīng)過(guò)一番軟磨硬泡，那名司機(jī)終于透露，“人臉識(shí)別”聽(tīng)起來(lái)很厲害，但是他們有軟件可以輕易破解。

　　沒(méi)錯(cuò)，“高大上”的“人臉識(shí)別”技術(shù)就這樣被一群“黑車(chē)”師傅給黑了。

　　以上故事是在Freebuf(國(guó)內(nèi)關(guān)注度最高的全球互聯(lián)網(wǎng)安全媒體平臺(tái))主辦的FIT2017互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)上，平安科技安全研究員高亭宇在一場(chǎng)“關(guān)于人臉識(shí)別技術(shù)應(yīng)用風(fēng)險(xiǎn)”主題演講中的一段描述。

　　說(shuō)完這個(gè)故事，高亭宇現(xiàn)場(chǎng)展示了那名司機(jī)用來(lái)破解“人臉識(shí)別”技術(shù)的軟件——一款可以讓照片“張口說(shuō)話”的App。

　　高亭宇說(shuō)，從那之后，他開(kāi)始琢磨“人臉識(shí)別”技術(shù)在實(shí)際應(yīng)用層面的風(fēng)險(xiǎn)，并調(diào)研了市面上使用“人臉識(shí)別”技術(shù)的軟件，最后的結(jié)果出乎自己的預(yù)料。

　　通過(guò)分析，高亭宇發(fā)現(xiàn)，市面上大部分使用了“人臉識(shí)別”技術(shù)的軟件，其識(shí)別流程大致相同：檢測(cè)人臉→活體檢測(cè)→人臉對(duì)比(和之前上傳的自拍照或證件照)→分析對(duì)比結(jié)果→返回結(jié)果(通過(guò)或不通過(guò))。

　　據(jù)了解，其中“活體檢測(cè)”技術(shù)即在“人臉識(shí)別”時(shí)要求用戶進(jìn)行眨眼、點(diǎn)頭、張嘴等動(dòng)作，以防止靜態(tài)圖像破解，國(guó)內(nèi)多個(gè)知名App中的“人臉識(shí)別”都采用了這項(xiàng)技術(shù)。

　　高亭宇說(shuō)，一般的App開(kāi)發(fā)者不會(huì)自己開(kāi)發(fā)“人臉識(shí)別”技術(shù)，而是通過(guò)第三方的API接口或SDK組件來(lái)獲得“人臉識(shí)別”功能，基于這個(gè)特點(diǎn)，他對(duì)“人臉識(shí)別”技術(shù)從接入到實(shí)際使用過(guò)程中的每個(gè)關(guān)鍵點(diǎn)進(jìn)行了分析，最終在多個(gè)環(huán)節(jié)都找到了多個(gè)突破點(diǎn)，只要略施小計(jì)，就能讓“人臉識(shí)別”形同虛設(shè)。比如，注入應(yīng)用繞過(guò)活體檢測(cè)，也就是通過(guò)注入應(yīng)用的方式來(lái)篡改程序，從而繞過(guò)所謂的活體檢測(cè)功能，使用一張靜態(tài)照片就可以通過(guò)人臉識(shí)別。

　　在采訪過(guò)程中，甚至有業(yè)內(nèi)人士這樣表示，“不是3D打印不行，如果用一臺(tái)精密的打印機(jī)，破解‘人臉識(shí)別’同樣不在話下”。

　　“除了一般的考勤、賬號(hào)安全App之外，大量的銀行、P2P金融企業(yè)的App已經(jīng)介入使用了‘人臉識(shí)別’技術(shù)，其中金融行業(yè)在使用‘人臉識(shí)別’技術(shù)時(shí)的安全性明顯高于一般應(yīng)用；當(dāng)‘人臉識(shí)別’技術(shù)涉及關(guān)鍵業(yè)務(wù)時(shí)，安全防護(hù)水準(zhǔn)往往更高?！备咄び钫f(shuō)，比如他在測(cè)試國(guó)內(nèi)某P2P金融的客戶端時(shí)，嘗試“人臉識(shí)別”解鎖失敗數(shù)次后，該App　就檢測(cè)出了可能存在惡意破解的情況，強(qiáng)制使用銀行卡信息、手機(jī)短信等其他方式來(lái)完成認(rèn)證。

　　高亭宇在現(xiàn)場(chǎng)強(qiáng)調(diào)了一點(diǎn)，除了“人臉識(shí)別”技術(shù)在手機(jī)上的應(yīng)用缺陷之外，許多問(wèn)題導(dǎo)致的原因都是開(kāi)發(fā)者在調(diào)用第三方“人臉識(shí)別”服務(wù)時(shí)，沒(méi)有嚴(yán)格按照一個(gè)安全的規(guī)范來(lái)做，接入流程不夠嚴(yán)謹(jǐn)，甚至經(jīng)常出現(xiàn)為了提高用戶體驗(yàn)而舍棄安全性的做法，這樣的做法在技術(shù)實(shí)力不強(qiáng)的小公司十分常見(jiàn)，最終導(dǎo)致的結(jié)果就是，讓用戶把密碼寫(xiě)在了自己的臉上。