被破解的“人脸识别”:“刷脸”究竟安全吗?
“人脸识别”的安全问题来了
调查动机
9月13日清晨,苹果公司发布了新的iPhone X,其新功能“人脸识别”尤其引人注目。在未来,无论是解锁还是用它付费,用户只需看一眼手机。
此前,中国农业银行在贵州省贵阳市的两台自动取款机上推出了“刷脸取款”。用户站在自动取款机前,看了看摄像头,然后输入手机号码、取款金额和密码。自动提款机自动吐出钱,用户取走现金。据悉,该功能将覆盖贵阳的大面积区域,到今年年底将全面覆盖贵州。此外,2016年,招商银行还在全国106个城市的近1000台自动取款机上实施了“刷脸”取款。
不仅如此,今年9月,许多学院和大学试图“擦脸”注册。肯德基已经开设了一家餐馆来“擦脸”收费。“京东家园”的商店已经意识到“人就是钱包”;甚至一些公共厕所也使用面部识别卫生纸机从他们的脸上拿走纸巾。更不用说银行的“擦脸”转账了。
一大堆“擦脸”的场景出现了。当许多人沉浸在“人脸识别”的惊喜中时,也有人问:“刷脸”安全吗?
“擦脸”时代即将到来。
最近,关于“人脸识别”技术在各个地方应用的新闻很常见。继北京天坛公园安装“人脸识别”卫生纸机后,广西壮族自治区南宁市的一个公园也于8月31日采用了“人脸识别”卫生纸机。9月7日,江苏省徐州市的一个公共厕所也安装了一台“人脸识别”卫生纸机。北京市住房和建设委员会9月8日表示,为解决保障性住房非法转租和出借问题,今年将在去年试点实施“面子识别”门禁系统的基础上,在海淀区所有公租房区进一步推行“面子识别”门禁系统。北京、武汉等地的火车站也开始使用“擦脸”设备。
《法制日报》记者发现,“人脸识别”技术已经广泛应用于门禁、考勤等领域。然而,任何新技术都可能是一把双刃剑。虽然“黑色技术”带来了更多的惊喜和便利,但其隐藏的安全风险不容忽视。
尴尬的经历
9月18日14: 00,《法制日报》记者来到北京通州万达广场京东大厦体验“刷面”付款。选好商品后,记者来到付款柜台,店员建议先扫描代码付款。在记者表示他想体验“擦脸”付款后,店员建议道,“这种技术不是很成熟,而且步骤也相当复杂。我们已经尝试了很多次,但没有成功。以前,也有顾客试图付款,但没有成功。”在记者坚持表示愿意尝试后,店员指示记者使用360buy.com的应用扫描码打开“刷面”支付功能,但最终卡卡在支付页面,无法支付。店员的电脑也显示记者没有付款。记者们随后几次退出应用程序,并试图重启该功能,但都失败了。
店员无奈地对记者说:“京东相关人员以前也来看过这种情况,但他们还是没能成功‘擦脸’付钱。今天,这里的人相对较少。我们可以等你“擦脸”然后付钱。如果在人太多的情况下你不能成功付款,后面的顾客会很恼火。”最后,记者不得不选择传统的扫描码支付方式来完成购买。
同样作为一名用户,北京师范大学的大四学生莫山(化名)对“刷脸”的使用有一种很难的感觉。
这个秋季学期,北京师范大学在学生公寓安装了一个新的门禁系统,“人脸识别”取代了以前的信用卡识别。更换身份识别系统后,学生们需要从相机中收集图像,并在进入学生公寓前刷他们的学生卡。如果学生忘记带学生证,他们可以输入学生证的最后四位数字,如果匹配成功,就可以进入公寓。
“不管你是化妆还是戴眼镜,但如果你戴眼镜,你必须分别输入带眼镜和不带眼镜的图像。据说,即使你的母亲不认识它们,机器也能认出它们。”
根据莫森的说法,如果进行正常识别,速度仍然很快,但不是每次都很快。“如果学生证和学生号都不能匹配图像识别系统,还有最后一招,那就是向机器喊出你的名字。第三种开启方法让我们很尴尬,虽然这种情况很少见,但它已经出现了”。
目前,北京师范大学的学生公寓有两个门。第一个门是“人脸识别”,第二个门类似于地铁站的入口和出口。这是信用卡加苏冠阿姨的认可。“人脸识别听起来比以前安全多了,但是当一个同学通过人脸识别打开门后,后面的人仍然可以像以前一样不经识别直接进入。尴尬的是,在过去使用信用卡识别时,如果你忘记带学生卡,第二道门不能用信用卡进入,你需要向苏冠阿姨登记才能进入。现在,因为外面的“人脸识别”,苏冠阿姨很放松。只要她从第一个门卫进来,苏冠阿姨就直接按下第二个门卫的按钮,不用刷卡就可以放行。我不知道是否每栋建筑都是一样的,这实际上增加了外人进入公寓的风险。”
在方便性方面,莫森说:“识别系统最初是为了提高安全性而设计的,而不是为了让它更方便。虽然没有做任何调查,但我从我的同学那里听说安全性已经降低,现在我不得不刷卡离开公寓,这是非常不方便的。也许将来会有所改进。一次只允许一个人进入,但这太麻烦了。”
“我的同学普遍认为这个制度很鸡肋。现在我认为弊大于利,可能是因为我一开始不习惯,也许我以后会改进它。”默桑说。
混乱的产品市场。
与国外主要应用于安全领域的“人脸识别”技术不同,在我国,“人脸识别”技术主要应用于企业的考勤和门禁、物业社区的安全保护以及金融领域的开户认证,其中金融领域所占比重更大。然而,目前,较为常见的“人脸识别”技术主要用于考勤机等应用中。
《法制日报》记者采访了一家专门销售“人脸识别”设备的北京公司作为买家,测试了一台集“门禁”和“考勤”于一体的多功能考勤机。
在现场,记者首先记录了面部照片,主要是收集面部眼眶、鼻腔和口腔区域的图像。进入后,记者站在机器前进行识别,一进入摄像机范围就被成功识别。然而,在记者摘下眼镜或更换眼镜并调整戴眼镜的角度后,考勤机无法识别成功。此外,与照片相比,该设备仍然无法识别。
据工作人员介绍,目前“人脸识别”考勤机的价格从几百元到数万元不等。价格越高,识别准确率越高。记者测试的产品是最畅销的1000元机器。只要人脸收集的数据能够匹配60%以上,就可以识别为同一个人。然而,相对而言,由于采集过程中采集的特征相对单一,精度也会受到影响。
记者还通过在淘宝上搜索“人脸识别考勤”,联系了一家销售“人脸识别”考勤机的商店,并反复询问客服人员是否可以通过人脸照片或人脸视频打卡。客服回答说他们不能。在该产品的问答区,一些网民还问他们是否可以用手机上的照片或视频代替打卡。一个买了考勤机的网民回答说,他已经试过了,发现不可能。
记者随后搜索了“人脸识别锁”,发现了许多品牌的此类商品。记者联系了一家销售额最高的商店。在演示视频中,记者看到演示者无法多次使用脸部照片和视频解锁。商家承诺,如果用户在使用过程中发现可以用照片打开它,将赔偿1万元。在商品问答区,已经购买该产品的网民也表示,他们试图用照片解锁,但失败了。记者问客服人员,这种“人脸识别”锁的原理是否与苹果新发布的iPhone X手机的人脸识别相同。客服人员表示,他们的锁“使用面部3D骨骼识别技术,红外线扫描面部轮廓、化妆、明暗、胖瘦等。不会影响识别并且可以解锁。“人脸识别”系统在人脸上取许多点,并计算每个部分点之间的距离。该算法与是否补码无关,也不影响识别。此外,即使在光线较暗时也能识别,因为“人脸识别”锁有两个带夜视功能的红外探头,只要人脸和手掌显示在屏幕框中,门仍然可以被识别。1.3米高的孩子可以“刷他们的脸”。客服人员说,“照片永远打不开这把锁。这款锁采用3D骨骼识别技术。戴眼镜的朋友请戴上眼镜来记录他们的脸。浓妆和发型可以被准确识别。此外,如果面部的三分之二已经被整形,它可能无法被识别,需要重新输入。"
那么,“人脸识别”系统能被3D模拟面具愚弄吗?客户服务人员没有直接回答这个问题。
在问答平台“智虎”上,一位网友回答了“目前人脸识别技术面临的最大挑战是什么”的问题,并获得了最高评价。这位网民告诉记者,淘宝上出售的“人脸识别”锁不能保证绝对安全。记者问这款产品是否会被3D仿真面具欺骗。这位网友说,这种情况可能会发生。
记者随后在淘宝上搜索了“3D面膜”和“乳胶面膜”,发现有很多这样的产品。一些面具不仅改变了容貌,还改变了脸部的骨骼结构。戴上后,有许多假的和假的效果。
破解“人脸识别”
尽管“人脸识别”产品的客户服务人员声称它们一般不容易破解,但现实生活中已经有破解的例子。
要破解“人脸识别”的例子,我们需要从预订汽车的经历开始。
一位市民通过在线汽车预订应用下了订单。很快,车到了,但是车和司机的信息与手机客户端显示的信息不匹配。为了尽快回家,市民不太在意,直接上车。结果,司机转过身,告诉市民在汽车熄火后不到一分钟取消订单。尽管这位市民一再拒绝,司机还是坚持让她回到原来的地方,并让她再次打车。
没有出路。市民只能使用这个在线汽车预订软件再次呼叫汽车,却发现司机来接他。司机说,“你可以打车回去,只要你还用这个软件邀请汽车,它还是我的车。”
当时,市民想知道为什么会发生这种情况。经过一番调查,该市民得知附近有一个由30多名“黑车”司机组成的车队。每个司机都有一堆虚假的司机账户。同一个人收集了数百个虚假账户,然后这些车辆被派去通过无线电接人。因此,无论用户拨打哪个号码,都会有同一个司机来接这个人。
得知内部消息后,市民更加迷惑了。“这个在线汽车预订应用程序显然使用‘人脸识别’功能来验证司机信息。为什么这些司机可以使用假账号?”经过一番努力,司机终于透露“人脸识别”听起来很棒,但他们有很容易破解的软件。
是的,高大商的“人脸识别”技术因此被一群“黑车”大师弄得昏了过去。
平安科技的安全研究员高在费宝(全球最受关注的中国互联网安全媒体平台)主办的2017年国际互联网安全创新大会上发表了题为“人脸识别技术的应用风险”的主旨演讲。
故事结束后,高展示了司机用来破解“人脸识别”技术的软件——一个允许照片“张开嘴说话”的应用。
高表示,从那以后,他开始考虑“人脸识别”技术在实际应用中的风险,并对市场上使用“人脸识别”技术的软件进行了调查。最终的结果超出了他的预料。
通过分析,高发现市场上大多数软件都采用了“人脸识别”技术,其识别过程大致相同:人脸检测→活体检测→人脸比对(与之前上传的自画像或目击者照片)→比对结果分析→结果返回(通过或失败)。
据了解,“活体检测”技术要求用户在“人脸识别”过程中眨眼、点头和张开嘴巴,以防止静止图像被破解,国内许多知名应用中的“人脸识别”都采用了这项技术。
高表示,普通的应用程序开发人员不是自己开发“人脸识别”技术,而是通过第三方的应用编程接口或软件开发工具包组件获得“人脸识别”功能。基于这一特点,他分析了“人脸识别”技术从获得到实际使用过程中的每一个关键点,最终在许多环节找到了几个突破。只要耍一两个花招,就能让“人脸识别”变得毫无用处。例如,注射应用绕过活体检测,即通过注射应用篡改程序,从而绕过所谓的活体检测功能,并且使用静止照片可以用于面部识别。
在采访中,甚至一些业内人士也表示,“3D打印并非不可能。如果你使用精密打印机,也不可能破解“人脸识别”。
“除了一般的考勤和账户安全应用程序,大量银行和P2P金融企业已经在应用程序中使用了‘人脸识别’技术。其中,金融业使用“人脸识别”技术的安全性明显高于一般应用。当“人脸识别”技术涉及到关键业务时,安全保护级别通常会更高。”高说,例如,当他在中国测试一个P2P金融客户端时,在他几次未能解锁“人脸识别”之后,该应用程序检测到可能的恶意破解,并强制使用银行卡信息、短信等方法来完成认证。
高在现场强调,除了“人脸识别”技术在手机上的应用缺陷外,很多问题都是由于开发商在调用第三方“人脸识别”服务时没有严格遵循安全标准造成的。访问过程不够严格,甚至为了改善用户体验而放弃安全性的做法也经常发生。这种做法在技术力量薄弱的小公司中非常普遍。最终的结果是允许用户在脸上写密码。(记者赵丽实习生韩朝阳)
下一篇:人脸识别应用还没那么“美”