9月13日凌晨,蘋果發(fā)布新品iPhone X,新功能“Face ID”尤為引人矚目。以后,無論是解鎖iPhone X還是用其進(jìn)行支付,用戶只要看一眼手機(jī)就可以了。
   
 您當(dāng)前的位置 : 社會(huì)新聞>

被破解的“人臉識(shí)別”:“刷臉”究竟安全嗎?

??诰W(wǎng) http://6chong.cn 時(shí)間:2017-09-19 09:08

  “人臉識(shí)別”的安全問題已經(jīng)來了

  調(diào)查動(dòng)機(jī)

  9月13日凌晨,蘋果發(fā)布新品iPhone X,新功能“Face ID”尤為引人矚目。以后,無論是解鎖iPhone X還是用其進(jìn)行支付,用戶只要看一眼手機(jī)就可以了。

  此前,中國農(nóng)業(yè)銀行已在貴州省貴陽市兩臺(tái)自助取款機(jī)上線“刷臉取款”,用戶站在ATM機(jī)前,看一眼攝像頭,再輸入手機(jī)號(hào)、取款金額、密碼,ATM機(jī)自動(dòng)吐鈔,用戶取走現(xiàn)金。據(jù)悉,該功能將在貴陽進(jìn)行大面積覆蓋,今年年底在貴州實(shí)現(xiàn)全省覆蓋。此外,招商銀行也于2016年在全國106個(gè)城市近千臺(tái)ATM機(jī)上實(shí)現(xiàn)了“刷臉”取款。

  不僅如此,多所高校在今年9月入學(xué)季嘗試了“刷臉”注冊(cè);肯德基有餐廳上線了“刷臉”支付;“京東之家”有門店實(shí)現(xiàn)了“人即錢包”;甚至有公廁用上了人臉識(shí)別廁紙機(jī),靠臉取紙巾;更別說銀行的“刷臉”轉(zhuǎn)賬了。

  一大波“刷臉”場景出現(xiàn),當(dāng)不少人沉浸在“人臉識(shí)別”的驚喜中時(shí),也有人發(fā)出疑問:“刷臉”安全嗎?

  “刷臉”的時(shí)代說來就來。

  最近一段時(shí)間,“人臉識(shí)別”技術(shù)在各地應(yīng)用的新聞屢見不鮮。繼北京天壇公園安裝“人臉識(shí)別”廁紙機(jī)后,8月31日,廣西壯族自治區(qū)南寧市一家公園也采用了“人臉識(shí)別”廁紙機(jī);9月7日,江蘇省徐州市一家公共廁所同樣裝上了“人臉識(shí)別”廁紙機(jī)。北京市住建委9月8日表示,為解決保障房違規(guī)轉(zhuǎn)租轉(zhuǎn)借現(xiàn)象,繼去年在海淀區(qū)金隅翡麗小區(qū)推行“人臉識(shí)別”門禁系統(tǒng)試點(diǎn)基礎(chǔ)上,今年進(jìn)一步在全市所有公租房小區(qū)推廣。北京、武漢等地的火車站也開始啟用“刷臉進(jìn)站”設(shè)備。

  《法制日?qǐng)?bào)》記者在網(wǎng)上搜索發(fā)現(xiàn),目前在門禁、考勤等方面應(yīng)用“人臉識(shí)別”技術(shù)已經(jīng)十分廣泛。然而,任何新技術(shù)都可能是雙刃劍。“黑科技”在帶來更多驚喜和便利的同時(shí),其潛藏的安全隱患也不容忽視。

  尷尬的使用體驗(yàn)

  9月18日14時(shí),《法制日?qǐng)?bào)》記者來到北京市通州萬達(dá)廣場的京東之家體驗(yàn)“刷臉”支付。記者選中商品后來到支付柜臺(tái),店員優(yōu)先推薦掃碼支付。在記者表明要體驗(yàn)“刷臉”支付后,店員勸道:“這個(gè)技術(shù)還不太成熟,步驟比較繁瑣,我們自己試了很多次,都不成功。之前也有顧客來嘗試,沒有支付成功?!庇浾邎?zhí)意表示愿意嘗試后,店員才指導(dǎo)記者通過京東App掃碼開通了“刷臉”支付功能,但是最終卡在了支付頁面,無法付款。店員的電腦端也顯示記者沒有支付成功。記者隨后多次退出App程序,嘗試重啟進(jìn)入該功能,但都失敗了。

  店員無奈地對(duì)記者說:“之前京東相關(guān)人員也來看過這個(gè)情況,但還是沒辦法成功‘刷臉’支付。今天人比較少,我們可以一直等您‘刷臉’支付,要是人多的時(shí)候,一直不能支付成功的話,后面的顧客就煩了。”最后,記者只得選擇常規(guī)的掃碼支付方式才完成此次購買。

  同樣作為使用者的北京師范大學(xué)大四學(xué)生墨桑(化名),對(duì)于“刷臉”的使用感受也是一言難盡。

  今年秋季學(xué)期,北京師范大學(xué)在學(xué)生公寓換裝了新的門禁系統(tǒng),“人臉識(shí)別”代替了之前的刷卡識(shí)別。更換識(shí)別系統(tǒng)后,學(xué)生進(jìn)入公寓需要對(duì)著攝像頭采集圖像,然后刷自己的學(xué)生卡,匹配之后才能進(jìn)入學(xué)生公寓。學(xué)生如果忘記帶學(xué)生卡,可以輸入學(xué)號(hào)的后四位,匹配成功也可以進(jìn)入公寓。

  墨桑對(duì)《法制日?qǐng)?bào)》記者說:“說是化妝或者戴眼鏡都不會(huì)有影響,但是戴眼鏡的話,在錄入時(shí)要對(duì)戴眼鏡和不戴眼鏡的圖像各錄入一遍,傳說‘親媽都認(rèn)不出來的時(shí)候,機(jī)器還能認(rèn)出來’?!?/p>

  在墨桑看來,如果正常識(shí)別,速度還是挺快的,但并非每次都如愿?!叭绻麑W(xué)生卡、學(xué)號(hào)都不能夠與圖像識(shí)別系統(tǒng)匹配,還有最后一招,就是對(duì)著那個(gè)機(jī)器大聲喊出自己的名字。第三種開啟方式讓我們很尷尬,雖然這種情況不多,但是已經(jīng)出現(xiàn)了”。

  目前,北京師范大學(xué)的學(xué)生公寓有兩道門禁,第一道大門是“人臉識(shí)別”,第二道門類似地鐵站進(jìn)出閘機(jī),是刷卡識(shí)別加宿管阿姨辨別。墨桑說:“‘人臉識(shí)別’聽起來比以前安全很多,但是一個(gè)同學(xué)通過‘人臉識(shí)別’打開大門后,后面的人和以前一樣,依然可以不通過識(shí)別直接跟著進(jìn)入。尷尬的是,在以前使用刷卡識(shí)別時(shí),如果忘記帶學(xué)生卡,第二道門無法刷卡進(jìn)入,需要到宿管阿姨那里登記才能夠進(jìn)入。現(xiàn)在,因?yàn)橛辛送饷娴摹四樧R(shí)別’,所以宿管阿姨管的就很寬松,只要從第一道門禁進(jìn)來了,宿管阿姨直接按第二道門禁的按鈕放行,不需要刷卡。不知道是不是每棟樓都一樣,這樣其實(shí)加大了外人混入公寓的風(fēng)險(xiǎn)?!?/p>

  在便捷性上,墨桑說:“識(shí)別系統(tǒng)本來就只是為了提高安全性的,不是為了更方便。雖然沒有做過調(diào)查,但是聽同學(xué)說安全性反而降低了,而且現(xiàn)在出公寓也要刷卡,談不上便利。也許以后會(huì)改進(jìn),一次只放一個(gè)人進(jìn)入,不過這也太麻煩了?!?/p>

  “我同學(xué)普遍覺得這個(gè)系統(tǒng)很雞肋,我現(xiàn)在覺得弊大于利,可能因?yàn)閯傞_始不太適應(yīng),說不定以后會(huì)改進(jìn)?!蹦Uf。


  雜亂的產(chǎn)品市場

  和國外的“人臉識(shí)別”技術(shù)多應(yīng)用于安防領(lǐng)域不同,在我國,“人臉識(shí)別”技術(shù)主要應(yīng)用于企業(yè)的考勤門禁、物業(yè)小區(qū)的安全防護(hù)和金融領(lǐng)域的開戶認(rèn)證等,其中金融領(lǐng)域的應(yīng)用占比較多。不過,目前比較常見的“人臉識(shí)別”技術(shù)主要出現(xiàn)在考勤機(jī)等應(yīng)用上。

  《法制日?qǐng)?bào)》記者以購買者的身份采訪了北京市一家專業(yè)從事“人臉識(shí)別”設(shè)備銷售的企業(yè),并現(xiàn)場測試了一臺(tái)集“門禁”“考勤”為一體的多功能考勤機(jī)。

  在現(xiàn)場,記者首先進(jìn)行人臉照片錄入,主要對(duì)人臉的眼眶、鼻區(qū)以及嘴部三塊區(qū)域進(jìn)行圖像采集。錄入之后,記者站在機(jī)器前進(jìn)行識(shí)別,只要一進(jìn)入攝像頭可照范圍之內(nèi)立即就被識(shí)別成功。不過,記者摘下眼鏡或者更換眼鏡以及調(diào)整眼鏡佩戴角度后,考勤機(jī)無法識(shí)別成功。此外,用照片比對(duì),該設(shè)備依然無法識(shí)別。

  據(jù)工作人員介紹,目前“人臉識(shí)別”考勤機(jī)的價(jià)位從數(shù)百元到上萬元不等,價(jià)格越高,識(shí)別的精確度越高。記者測試的這款產(chǎn)品是最暢銷的千元機(jī),只要臉部采集到的數(shù)據(jù)能吻合到六成以上,便能認(rèn)定是同一人。不過相對(duì)而言,由于采集時(shí)拍攝下來的一些特征相對(duì)單一,所以精確度也會(huì)受到影響。

  記者還在淘寶通過搜索“人臉識(shí)別考勤”聯(lián)系上一家賣“人臉識(shí)別”考勤機(jī)的店鋪,并反復(fù)詢問客服人員是否可以通過人臉的照片或者人臉視頻進(jìn)行打卡,客服都回答說不可以。在該商品的問答區(qū),也有網(wǎng)友詢問是否可以用手機(jī)上的照片或者視頻代替打卡,有一個(gè)購買過該考勤機(jī)的網(wǎng)友回答說自己試了,發(fā)現(xiàn)不可以。

  記者隨后搜索“人臉識(shí)別鎖”,發(fā)現(xiàn)這類商品品牌繁多。記者聯(lián)系了銷售量排名靠前的一家商鋪。在演示視頻中,記者看到,演示者利用人臉的照片和視頻嘗試多次都無法開鎖。商家承諾稱,如果用戶在使用過程中發(fā)現(xiàn)可以用照片打開,他們會(huì)賠償1萬元。在商品的問答區(qū),已經(jīng)購買的網(wǎng)友也表示自己嘗試用照片開鎖,但沒有成功。記者詢問客服人員,這個(gè)“人臉識(shí)別”鎖的原理和蘋果新發(fā)布的iPhone X手機(jī)的Face ID是否相同?客服人員稱,他們的鎖“采用面部3D骨骼識(shí)別技術(shù),紅外掃描面部輪廓,化妝、燈光明暗、胖瘦等不會(huì)影響識(shí)別,可以開鎖?!四樧R(shí)別’系統(tǒng)是取臉上很多個(gè)點(diǎn),計(jì)算各個(gè)部位的點(diǎn)的距離。這個(gè)算法與是否化妝沒有關(guān)系,不影響識(shí)別。而且,在燈光暗的情況下也能識(shí)別,因?yàn)椤四樧R(shí)別’鎖有兩個(gè)帶有夜視功能的紅外探頭,只要把臉和手掌顯示在屏幕框內(nèi),照樣可以識(shí)別開門。小朋友身高達(dá)到1.3米的都可以‘刷臉’”??头藛T說,“照片絕對(duì)打開不了這把鎖,此鎖采用是3D骨骼識(shí)別技術(shù),戴眼鏡的朋友請(qǐng)戴著眼鏡錄臉?;瘽鈯y、發(fā)型,都能準(zhǔn)確識(shí)別。另外,如果臉部整形動(dòng)了臉部三分之二的,就有可能識(shí)別不了,需要重新錄入?!?/p>

  那么,使用3D仿真面具是否可以騙過“人臉識(shí)別”系統(tǒng)呢?對(duì)此問題,客服人員沒有正面回答。

  在問答平臺(tái)“知乎”上,一位網(wǎng)友回答了“目前人臉識(shí)別技術(shù)最大的挑戰(zhàn)是什么”這一問題,其答案獲得最高贊。這位網(wǎng)友告訴記者,淘寶上賣的“人臉識(shí)別”鎖不能保證絕對(duì)安全。記者詢問這種產(chǎn)品是否有可能被3D仿真面具欺騙?這位網(wǎng)友說,這種情況可能發(fā)生。

  記者隨后在淘寶上搜索“3D面具”“乳膠面具”,發(fā)現(xiàn)這種產(chǎn)品也有不少,有的面具不僅改變了容貌,而且改變了臉部的骨骼結(jié)構(gòu),戴上之后多有以假亂真的效果。


  被破解的“人臉識(shí)別”

  盡管“人臉識(shí)別”產(chǎn)品的客服人員聲稱一般不易被破解,但現(xiàn)實(shí)生活中已然出現(xiàn)了破解實(shí)例。

  破解“人臉識(shí)別”的實(shí)例,要從一次網(wǎng)約車經(jīng)歷說起。

  一名市民通過網(wǎng)約車App下單。很快,車到了,但車輛、司機(jī)的信息均與手機(jī)客戶端上顯示的信息不符。為了趕緊回家,這名市民也顧不上太多,就直接上車了。結(jié)果,車開出去不到一分鐘,司機(jī)就扭頭對(duì)這名市民說要取消訂單。盡管這名市民一再拒絕,但司機(jī)還是堅(jiān)持把她送回原處,讓她重新打出租車。

  沒有辦法,這名市民只能再次用這款網(wǎng)約車軟件叫車,結(jié)果發(fā)現(xiàn)來接他的還是那名司機(jī)。司機(jī)說:“你要么就打個(gè)出租車回去,只要你還用這個(gè)軟件約車,叫到的還是我的車?!?/p>

  這名市民當(dāng)時(shí)就納悶了,為什么會(huì)這樣?一番打聽后,這名市民才知道,附近有一個(gè)由30多名“黑車”司機(jī)組成的車隊(duì),每名司機(jī)都有一堆虛假的司機(jī)賬號(hào),上百個(gè)虛假賬號(hào)由同一個(gè)人來統(tǒng)一接單,然后通過電臺(tái)調(diào)度車輛去接人。因此,不管用戶打到哪個(gè)號(hào),都會(huì)調(diào)同一名司機(jī)去接人。

  了解到這些內(nèi)情,這名市民更加不解,“這個(gè)網(wǎng)約車App上明明使用了‘人臉識(shí)別’功能來驗(yàn)證司機(jī)信息,為什么這些司機(jī)可以使用虛假賬號(hào)”?經(jīng)過一番軟磨硬泡,那名司機(jī)終于透露,“人臉識(shí)別”聽起來很厲害,但是他們有軟件可以輕易破解。

  沒錯(cuò),“高大上”的“人臉識(shí)別”技術(shù)就這樣被一群“黑車”師傅給黑了。

  以上故事是在Freebuf(國內(nèi)關(guān)注度最高的全球互聯(lián)網(wǎng)安全媒體平臺(tái))主辦的FIT2017互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)上,平安科技安全研究員高亭宇在一場“關(guān)于人臉識(shí)別技術(shù)應(yīng)用風(fēng)險(xiǎn)”主題演講中的一段描述。

  說完這個(gè)故事,高亭宇現(xiàn)場展示了那名司機(jī)用來破解“人臉識(shí)別”技術(shù)的軟件——一款可以讓照片“張口說話”的App。

  高亭宇說,從那之后,他開始琢磨“人臉識(shí)別”技術(shù)在實(shí)際應(yīng)用層面的風(fēng)險(xiǎn),并調(diào)研了市面上使用“人臉識(shí)別”技術(shù)的軟件,最后的結(jié)果出乎自己的預(yù)料。

  通過分析,高亭宇發(fā)現(xiàn),市面上大部分使用了“人臉識(shí)別”技術(shù)的軟件,其識(shí)別流程大致相同:檢測人臉→活體檢測→人臉對(duì)比(和之前上傳的自拍照或證件照)→分析對(duì)比結(jié)果→返回結(jié)果(通過或不通過)。

  據(jù)了解,其中“活體檢測”技術(shù)即在“人臉識(shí)別”時(shí)要求用戶進(jìn)行眨眼、點(diǎn)頭、張嘴等動(dòng)作,以防止靜態(tài)圖像破解,國內(nèi)多個(gè)知名App中的“人臉識(shí)別”都采用了這項(xiàng)技術(shù)。

  高亭宇說,一般的App開發(fā)者不會(huì)自己開發(fā)“人臉識(shí)別”技術(shù),而是通過第三方的API接口或SDK組件來獲得“人臉識(shí)別”功能,基于這個(gè)特點(diǎn),他對(duì)“人臉識(shí)別”技術(shù)從接入到實(shí)際使用過程中的每個(gè)關(guān)鍵點(diǎn)進(jìn)行了分析,最終在多個(gè)環(huán)節(jié)都找到了多個(gè)突破點(diǎn),只要略施小計(jì),就能讓“人臉識(shí)別”形同虛設(shè)。比如,注入應(yīng)用繞過活體檢測,也就是通過注入應(yīng)用的方式來篡改程序,從而繞過所謂的活體檢測功能,使用一張靜態(tài)照片就可以通過人臉識(shí)別。

  在采訪過程中,甚至有業(yè)內(nèi)人士這樣表示,“不是3D打印不行,如果用一臺(tái)精密的打印機(jī),破解‘人臉識(shí)別’同樣不在話下”。

  “除了一般的考勤、賬號(hào)安全App之外,大量的銀行、P2P金融企業(yè)的App已經(jīng)介入使用了‘人臉識(shí)別’技術(shù),其中金融行業(yè)在使用‘人臉識(shí)別’技術(shù)時(shí)的安全性明顯高于一般應(yīng)用;當(dāng)‘人臉識(shí)別’技術(shù)涉及關(guān)鍵業(yè)務(wù)時(shí),安全防護(hù)水準(zhǔn)往往更高。”高亭宇說,比如他在測試國內(nèi)某P2P金融的客戶端時(shí),嘗試“人臉識(shí)別”解鎖失敗數(shù)次后,該App 就檢測出了可能存在惡意破解的情況,強(qiáng)制使用銀行卡信息、手機(jī)短信等其他方式來完成認(rèn)證。

  高亭宇在現(xiàn)場強(qiáng)調(diào)了一點(diǎn),除了“人臉識(shí)別”技術(shù)在手機(jī)上的應(yīng)用缺陷之外,許多問題導(dǎo)致的原因都是開發(fā)者在調(diào)用第三方“人臉識(shí)別”服務(wù)時(shí),沒有嚴(yán)格按照一個(gè)安全的規(guī)范來做,接入流程不夠嚴(yán)謹(jǐn),甚至經(jīng)常出現(xiàn)為了提高用戶體驗(yàn)而舍棄安全性的做法,這樣的做法在技術(shù)實(shí)力不強(qiáng)的小公司十分常見,最終導(dǎo)致的結(jié)果就是,讓用戶把密碼寫在了自己的臉上。

?

?

相關(guān)鏈接:

“刷臉取快遞”來了 自提柜人臉識(shí)別5秒完成
蘋果手機(jī)人臉識(shí)別靠譜嗎? 外媒:仍有不少謎團(tuán)待解
人臉識(shí)別+手機(jī)號(hào)碼驗(yàn)證+密碼驗(yàn)證 海南也可以刷臉取款啦
iPhoneX帶火了人臉識(shí)別,中國的人工智能機(jī)會(huì)在哪

?

相關(guān)鏈接:
iPhoneX帶火了人臉識(shí)別,中國的人工智能機(jī)會(huì)在哪
人臉識(shí)別+手機(jī)號(hào)碼驗(yàn)證+密碼驗(yàn)證 海南也可以刷臉取款啦
蘋果手機(jī)人臉識(shí)別靠譜嗎? 外媒:仍有不少謎團(tuán)待解
“刷臉取快遞”來了 自提柜人臉識(shí)別5秒完成
[來源:法制日?qǐng)?bào)] [作者:趙麗 韓朝陽] [編輯:余冰月]
版權(quán)聲明:

·凡注明來源為“??诰W(wǎng)”的所有文字、圖片、音視頻、美術(shù)設(shè)計(jì)等作品,版權(quán)均屬??诰W(wǎng)所有。未經(jīng)本網(wǎng)書面授權(quán),不得進(jìn)行一切形式的下載、轉(zhuǎn)載或建立鏡像。

·凡注明為其它來源的信息,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。

?
圖解??谝恢軣崧劊汉?谌?qǐng)?bào)??诰W(wǎng)入駐“新京號(hào)”
圖解??谝恢軣崧剕多彩節(jié)目,點(diǎn)亮繽紛假期!
圖解海口一周熱聞:??谛履暌魳窌?huì)將于2024年1月1日舉辦
圖解海口一周熱聞:??谡胁乓菍稣\意攬才受熱捧
圖解??谝恢軣崧劊汉?讷@評(píng)國家食品安全示范城市
災(zāi)后重建看變化·復(fù)工復(fù)產(chǎn)
圓滿中秋
勇立潮頭踏浪行
“發(fā)現(xiàn)海口之美”攝影大賽
     
     
     
排行
 
旅客注意!??诿捞m機(jī)場T2值機(jī)柜臺(tái)17日起調(diào)整
尋舊日時(shí)光 ??诓糠帜贻p人熱衷“淘”老物件
??冢涸贫匆r晚霞 美景入眼中
嗨游活力???樂享多彩假日
??冢撼鞘猩v煙火氣 夜間消費(fèi)活力足
海口:長假不停歇 工地建設(shè)忙
市民游客在??诙冗^美好假期
2023“??诒狈悾ň①悾┗盍﹂_賽
??谔炜罩襟A站:晚照醉人
千年福地尋玉兔 共慶海口最中秋
 
|
|
 
     6chong.cn All Rights Reserved      
海口網(wǎng)版權(quán)所有 未經(jīng)書面許可不得復(fù)制或轉(zhuǎn)載
互聯(lián)網(wǎng)新聞信息服務(wù)許可證:46120210010
違法和不良信息舉報(bào)電話: 0898—66822333  舉報(bào)郵箱:jb66822333@163.com

網(wǎng)絡(luò)內(nèi)容從業(yè)人員違法違規(guī)行為舉報(bào)郵箱:jb66822333@126.com

瓊公網(wǎng)安備 46010602000160號(hào)

  瓊ICP備2023008284號(hào)-1
中國互聯(lián)網(wǎng)舉報(bào)中心