前段時間黑客們制造瞭令人聞風喪膽的勒索病毒,這讓人們感到在互聯網時代,無處不在的風險。
而近日,一群用自己黑客技術來做好事的白帽黑客們卻告訴你,連長在你身上的“臉”都不再值得信任!他們用“ 2 分半鐘破解人臉識別門禁”,“打印人臉照片 10 秒解鎖手機”等黑客手法,硬生生打瞭追捧“刷臉”概念人群的臉 ……
每經小編(微信號:nbdnews)不禁惶恐,刷臉取款、人臉解鎖、刷臉寄快遞、刷臉買單、刷臉坐高鐵、刷臉住店 …… 在快要到來的“看臉”時代,我們的“臉”真的不再可信瞭嗎?
視頻來源 : 騰訊視頻
2.5 分鐘破解“刷臉”門禁
打印照片 10 秒解鎖手機
“竊取關鍵人物的指紋、虹膜、聲音(聲紋)甚至人臉信息,突破警衛森嚴的寶庫偷天換日”這是電影大片裡的情節。
在剛剛結束的 GeekPwn2017 國際安全極客大賽上,白帽黑客們現場上演“諜中諜”,短短幾分鐘甚至幾秒鐘就能輕松攻破人臉識別、虹膜識別、指紋識別等生物識別系統。
評委在一臺人臉識別門禁系統中錄入自己的臉,隻有這張臉才能打開門禁。浙江大學計算機系畢業的女黑客 tyy 用瞭不到 2 分 30 秒就成功通過瞭刷臉機。tyy 解釋說,她通過 wifi 進入門禁系統,利用系統漏洞,直接獲取控制權限,修改人臉信息,也就是把設備中存儲的評委人臉換成瞭自己的臉。
圖片來源:視覺中國
更令人感到不安的是,來自百度安全實驗室的“小灰灰”和高樹鵬,用瞭不到 10 秒,就用一張打印的照片在一定光線環境下解鎖瞭一部手機。“理論上,隻要拍到一張手機主人的清晰照片就可以解鎖瞭。”現場評委、犇眾信息首席技術官徐昊說。
“現場演示攻擊並不是要制造恐慌,而是通過發現漏洞,督促廠商改進技術、修復漏洞。” GeekPwn 大賽發起和創辦人王琦說,大賽會將發現的漏洞反饋給廠商,讓越來越多的企業和公眾關註技術安全。
智能化產品也有脆弱的一面
“每個人隻有十個指紋、兩個虹膜、一張臉,這些暴露在外的信息一旦被破解,就是嚴重威脅。”白帽黑客“小灰灰”的話說出瞭大眾的心聲。
很多公司都宣稱其人臉識別準確率超過 99%,對此,長期研究機器學習的西安交通大學電信學院特聘教授龔怡宏介紹,這指的是在一些世界知名人臉數據庫比對中取得的成績,但在現實運用中,這種準確度要大打折扣。人群樣本更大,不同光線、姿態、分辨率等條件都可能給機器識別帶來困難。
圖片來源:視覺中國
並且在業界專傢看來,這是一種技術“攻防戰”。目前很多人臉識別公司都加大瞭在活體檢測上的技術投入,確保系統檢測到的是一個“活人”,提高對攻擊的防禦能力。以人臉取款為例,農業銀行上海分行個人金融部經理楊晟棟告訴記者,人臉取款采用紅外雙目攝像頭活體檢測技術,同時對臉部細微動作和微表情進行檢測,識別度遠高於手機攝像頭,假臉或者照片都不可能騙過系統。
那麼我們的隱私會否泄露呢?對此,上海市信息安全行業協會會長、眾人科技董事長談劍峰說:“生物特征是唯一特征,但這反而可能是不安全的。密碼丟失後可以設置一個新的,但有大量生物特征信息的服務器一旦受到攻擊,數據庫被拿走,你不可能再有第二張臉。”
應盡快立法防止人臉“裸奔”
對於目前手機界最火的 iPhoneX 的刷臉功能,近日有媒體邀請瞭一對雙胞胎兄弟進行人臉解鎖測試。
圖片來源:蘋果官網
首先由雙胞胎中的弟弟錄入面部圖像後,將手機轉交給雙胞胎哥哥後瞬時解鎖成功;同時,兄弟兩人在進行“摘眼鏡”、“戴帽子”等換裝後依舊解鎖成功。
這樣的測試正好印證瞭上面所說,智能化產品也有它脆弱的一面。
王琦提醒,不管是廠商還是消費者,都不要出於趕時髦或者追捧概念去使用一些尚未成熟的技術。
中科院自動化所生物識別與安全技術研究中心主任李子青等專傢建議,從安全層面考慮,人臉識別最好跟多種驗證方式交叉使用,尤其是對安全要求極高的金融場景。比如,為瞭防止照片、視頻播放、3D頭套等假臉攻擊,銀行刷臉取款都同時進行人臉識別、手機號碼或身份證驗證、密碼驗證三層防護。
在商湯科技聯合創始人楊帆看來,保護用戶隱私不僅需要企業自律,更需要政府引導行業建立統一標準。目前,歐洲監管機構已在即將出臺的數據保護法規中嵌入瞭一套原則,規定包括“臉紋”在內的生物信息屬於其所有者,使用這些信息需要征得本人同意。
“點點滴滴的個人隱私匯集起來就是國傢信息安全。”在談劍峰等業內人士看來,最重要的是立法保護公民隱私,以及確定人臉識別等技術的使用邊界。
每經編輯 湯亞文
每日經濟新聞綜合
新華視點(微信號:XHSXHSD)、成都商報等
記者:姚玉潔、馬曉澄、龔雯、劉暢 費成鴻
轉載請註明
| 本文轉自每日經濟新聞 nbdnews |
