15分鐘破解19款手機的人臉識別系統(tǒng) 護“臉”亟須查缺補漏

來源:新華每日電訊

人臉識別作為一種易用強的生物特征驗證技術(shù),目前在政務(wù)、安防、金融、生活消費等行業(yè)都有著廣泛應(yīng)用。不過,新華每日電訊記者調(diào)查發(fā)現(xiàn),人臉識別技術(shù)存在明顯的安全漏洞,對社會和財產(chǎn)安全存在重大隱患,亟須進行系統(tǒng)的安全排查和堵漏。

一起發(fā)票案牽出非法人臉識別案

記者從上海檢察機關(guān)獲悉,在期上海市虹口區(qū)人民檢察院公訴的一起特大虛開增值稅普通發(fā)票案中,被告人通過破解人臉識別技術(shù)等方式,注冊“皮包公司”用于虛開增值稅普通發(fā)票。據(jù)悉,多名被告人為他人開具增值稅普通發(fā)票價稅合計超過5億元。

案件中,犯罪嫌疑人首先通過相關(guān)政務(wù)臺完成注冊“皮包公司”,過程中通過臺上注冊人的人臉識別是注冊成功的關(guān)鍵環(huán)節(jié)。

為達到目的,犯罪嫌疑人中專門從事人臉識別破解的成員表示,其一般先從他處以30元每個的價格購買他人的高清頭像和身份證信息,之后利用“活照片”App對高清頭像進行處理,讓照片“動起來”,形成包括點頭、搖頭、眨眼、張嘴等動作視頻。

“獲取視頻后,我們利用特殊處理的手機‘劫持’攝像頭,在人臉認(rèn)證環(huán)節(jié)時,手機攝像頭不會啟動,系統(tǒng)獲取的是之前做好的視頻。系統(tǒng)會認(rèn)為是本人在攝像頭前,最后通過認(rèn)證。”犯罪嫌疑人說。

同時,該團伙還破解了某廣泛用于管理電子營業(yè)執(zhí)照App的人臉識別系統(tǒng)。犯罪嫌疑人下載電子營業(yè)執(zhí)照后,會在App里添加辦事員的身份信息。虛開發(fā)票團伙就以此通過辦事員身份使用電子營業(yè)執(zhí)照。

據(jù)犯罪嫌疑人交代,其破解的App類別非常廣泛,涉及政務(wù)、安防、金融、支付、生活消費等用戶量巨大的App。每單的破解價格從25元到300元不等。

15分鐘破解19款手機的人臉識別系統(tǒng)

“15分鐘破解19款手機的人臉識別系統(tǒng)。”據(jù)記者了解,依托清華大學(xué)人工智能研究院成立的團隊瑞萊智慧期披露了新的研究成果:研究人員根據(jù)一張照片,通過研究算法,制作一副特殊“眼鏡”,就可以刷臉解鎖他人手機或App身份認(rèn)證。

研究人員向記者透露,其團隊通過對抗樣本攻擊,戴上自制眼鏡后,15分鐘內(nèi)破解了19款智能手機的人臉識別解鎖系統(tǒng)。同樣被破解的還包括十余款金融和政務(wù)服務(wù)類App。

研究人員表示,結(jié)合身份證號等個人信息,甚至可冒充機主完成線上銀行開戶

“過臉識別技術(shù)”群里,黑客成“貴客”

記者發(fā)現(xiàn),網(wǎng)上存在大量提供破解人臉識別技術(shù)服務(wù)的群組,群名大多采用“過臉”“識別技術(shù)”等關(guān)鍵詞逃避監(jiān)管。群人數(shù)從100人到300人不等。

在一個名為“過臉識別技術(shù)”的群里,有人采取付費的方式邀約群內(nèi)可以破解支付軟件人臉識別審核的人士。黑客,成了人們追捧的“貴客”。

此外,有的群則是對破解技術(shù)進行資料、資源分享交流。一個名為“VX三色過臉”的群自稱“破解人臉識別技術(shù)的扛把子”“適合想入行的新手和小白”,群內(nèi)多達300人。

名為“藍葉子”的用戶給記者發(fā)來一段App人臉識別安防的破解視頻,并表示可以出售一臺特制的手機。通過導(dǎo)入自行制作的人臉動作視頻后,所有在該手機上安裝的應(yīng)用軟件,都可以自動跳過人臉認(rèn)證的環(huán)節(jié)。每臺手機的價格為1650元。

他還告訴記者,虛假的人臉動作視頻可以使用“你我當(dāng)年”“活照片”“輕松換臉”等App完成。

“我們了解到,有的公司上班考勤要進行人臉識別打卡,有員工委托黑客入侵打卡App,利用人臉識別漏洞來完成打卡,每月僅需付給黑客30元。”一位網(wǎng)絡(luò)安防公司相關(guān)負責(zé)人向記者透露。

在上述虛開發(fā)票案中,犯罪嫌疑人除了利用破解技術(shù)從事虛開發(fā)票外,還會利用注冊新賬號從事騙取各類App補貼優(yōu)惠等違法犯罪

瑞萊智慧高級產(chǎn)品經(jīng)理張旭東告訴記者,當(dāng)前破解人臉識別技術(shù)主要是針對活體檢測的假體攻擊,但針對AI算法自身的對抗樣本攻擊威脅也逐步凸顯。

“由于業(yè)界的人臉識別技術(shù)主要是固定幾個方法,相似度很高。如果黑客提供一個專用于破解人臉識別的開源軟件,并在互聯(lián)網(wǎng)上廣泛流傳,犯罪分子利用漏洞進行各類App實施違法犯罪將猶如‘入無人之境’。”張旭東說。

在新華三集團安全專家曹亮看來,無論是對抗樣本攻擊還是針對活體檢測的假體攻擊,最終目的都是為了騙過“機器眼”。

“當(dāng)前人臉識別算法大都是人臉上‘三點’‘五點’‘七點’的識別,通過對眼睛、鼻子、嘴、耳朵以及頭部活動來實現(xiàn)認(rèn)證。黑客完全可以通過了解機器內(nèi)部驗證機制和評判規(guī)則,再想辦法繞過安全防護。”他說。

抓緊查缺補漏,還每一張臉“安全”

專家認(rèn)為,應(yīng)盡快排摸國內(nèi)政務(wù)、安防、金融、支付、生活消費等領(lǐng)域的核心App應(yīng)用存在的相關(guān)漏洞,并及時打上補丁,以防發(fā)生危害社會安全和財產(chǎn)安全的重大事件。

開展軟硬件“對攻升級”。張旭東表示,當(dāng)務(wù)之急應(yīng)對涉及政務(wù)、安防、金融、消費等行業(yè)的人臉識別技術(shù)漏洞進行完善和升級。

“尤其是對于涉眾、涉密、涉及公共利益的相關(guān)臺和技術(shù)服務(wù)提供商,需優(yōu)先完成技術(shù)加固,對手機模擬器要做好防范和拒絕。同時,鼓勵和引導(dǎo)更多手機廠商在手機升級時支持3D人臉識別技術(shù)。”張旭東說。

“手機廠商在寫入手機系統(tǒng)時可內(nèi)置安全模塊,防止黑客繞過手機攝像頭啟動環(huán)節(jié)、對攝像頭實現(xiàn)劫持,從源頭上實現(xiàn)安全守護。”曹亮說。

制定落實人臉識別安全標(biāo)準(zhǔn)。曹亮表示,對核心領(lǐng)域使用人臉識別技術(shù)的產(chǎn)品,監(jiān)管部門可制定并嚴(yán)格實施相關(guān)標(biāo)準(zhǔn),保證產(chǎn)品符合安全技術(shù)要求。

“可依據(jù)人臉識別在公共或商業(yè)應(yīng)用中對安全的差異化需求,制定分級別、多層次的國家安全標(biāo)準(zhǔn)及行業(yè)安全標(biāo)準(zhǔn)。”他說。

加強司法打擊,保護每一張“臉”。“違法者可能涉嫌破壞計算機信息系統(tǒng)罪,執(zhí)法和司法機關(guān)應(yīng)當(dāng)加強打擊力度,形成威懾力。”北京格豐律師事務(wù)所合伙人郭玉濤律師說。他建議,當(dāng)前各大政務(wù)、金融、電商等臺都搜集了大量的人臉數(shù)據(jù),既存在重復(fù)建設(shè)的問題,更存在安全隱患和風(fēng)險。國家和省級層面可建立統(tǒng)一的商用安防大數(shù)據(jù)中心,以此達到防止人臉信息的濫用、外泄等問題。

“可要求人臉識別算法供應(yīng)商的模型須在大數(shù)據(jù)中心內(nèi)進行訓(xùn)練,實現(xiàn)數(shù)據(jù)、模型物理上不出專網(wǎng)。算法供應(yīng)商可租用大數(shù)據(jù)中心的數(shù)據(jù)和計算力進行算法模型的升級和更新。”他說。

本報記者蘭天鳴

推薦

熱點更多》

關(guān)閉

快訊更多》

財富