彩打人臉照片10秒解鎖手機 你的"臉"還安全嗎?

2017年11月07日08:09  來源:新華社
 
原標題:刷臉時代,你的“臉”還安全嗎?

  漫畫:擔憂。(徐駿/新華社)

  新華社上海11月6日電 人臉解鎖、刷臉取款、刷臉買單、刷臉寄快遞、刷臉住店、刷臉坐高鐵……在正在到來的這個“看臉”時代,你的“臉”安全嗎?

  2分半鐘破解人臉識別門禁,彩色打印人臉照片10秒鐘解鎖手機……“黑客”們的一場場現場秀提醒消費者:人臉識別等生物識別技術可能潛藏安全風險和隱私問題,刷臉要謹慎,畢竟,“丟了密碼可以重新設置,臉丟了就找不回來了”。

  2分半破解人臉識別門禁 打印照片10秒解鎖手機

  竊取關鍵人物的指紋、虹膜、聲音(聲紋)甚至人臉信息,突破警衛森嚴的寶庫偷天換日,這是電影大片裡的情節。

  在剛剛結束的GeekPwn2017國際安全極客大賽上,白帽黑客們現場上演“諜中諜”,短短幾分鐘甚至幾秒鐘就能輕鬆攻破人臉識別、虹膜識別、指紋識別等生物識別系統。

  評委在一台人臉識別門禁系統中錄入自己的臉,隻有這張臉才能打開門禁。浙江大學計算機系畢業的女黑客tyy用了不到2分30秒就成功通過了刷臉機。tyy解釋說,她通過wifi進入門禁系統,利用系統漏洞,直接獲取控制權限,修改人臉信息,也就是把設備中存儲的評委人臉換成了自己的臉。

  更令人感到不安的是,來自百度安全實驗室的“小灰灰”和高樹鵬,用了不到10秒,就用一張打印的照片在一定光線環境下解鎖了一部手機。“理論上,隻要拍到一張手機主人的清晰照片就可以解鎖了。”現場評委、犇眾信息首席技術官徐昊說。

  “現場演示攻擊並不是要制造恐慌,而是通過發現漏洞,督促廠商改進技術、修復漏洞。”GeekPwn大賽發起和創辦人王琦說,大賽會將發現的漏洞反饋給廠商,讓越來越多的企業和公眾關注技術安全。

  越智能越脆弱?

  “每個人隻有十個指紋、兩個虹膜、一張臉,這些暴露在外的信息一旦被破解,就是嚴重威脅。”白帽黑客“小灰灰”的話說出了大眾的心聲:看起來高大上又方便的人臉識別技術安全嗎?智能度越高的產品,安全會不會越脆弱?

  --技術是否成熟?很多公司都宣稱其人臉識別准確率超過99%,對此,長期研究機器學習的西安交通大學電信學院特聘教授龔怡宏介紹,這指的是在一些世界知名人臉數據庫比對中取得的成績,但在現實運用中,這種准確度要大打折扣。人群樣本更大,不同光線、姿態、分辨率等條件都可能給機器識別帶來困難。

  --安全是否可控?小偷有沒有可能用假臉欺騙門禁進入小區?金融罪犯會不會用“仿冒人臉”登錄銀行系統竊取錢財?

  在業界專家看來,這是一種技術“攻防戰”。目前很多人臉識別公司都加大了在活體檢測上的技術投入,確保系統檢測到的是一個“活人”,提高對攻擊的防御能力。以人臉取款為例,農業銀行上海分行個人金融部經理楊晟棟告訴記者,人臉取款採用紅外雙目攝像頭活體檢測技術,同時對臉部細微動作和微表情進行檢測,識別度遠高於手機攝像頭,假臉或者照片都不可能騙過系統。

  --隱私會否泄露?上海市信息安全行業協會會長、眾人科技董事長談劍峰說:“生物特征是唯一特征,但這反而可能是不安全的。密碼丟失后可以設置一個新的,但有大量生物特征信息的服務器一旦受到攻擊,數據庫被拿走,你不可能再有第二張臉。”

  多重驗証 盡快立法防止“人臉裸奔”

  專家表示,任何技術都是在攻防的過程中不斷演變升級,最終在安全性和便捷性之間達到平衡。“世界上沒有完美的技術,如果在特定的場景下,一項新技術的准確度能夠滿足要求,錯誤帶來的風險可以承受,那它就是有價值的。”奇虎360公司副總裁、新加坡國立大學教授顏水成說。

  王琦提醒,不管是廠商還是消費者,都不要出於趕時髦或者追捧概念去使用一些尚未成熟的技術。消費者在社交、互聯網等場景刷臉要慎重,尤其不要把臉作為關鍵信息的“鑰匙”。

  中科院自動化所生物識別與安全技術研究中心主任李子青等專家建議,從安全層面考慮,人臉識別最好跟多種驗証方式交叉使用,尤其是對安全要求極高的金融場景。比如,為了防止照片、視頻播放、3D頭套等假臉攻擊,銀行刷臉取款都同時進行人臉識別、手機號碼或身份証驗証、密碼驗証三層防護。

  盡管很多廠商宣稱自己對採集的照片和人臉生物特征會進行脫敏處理,但在商湯科技聯合創始人楊帆看來,保護用戶隱私不僅需要企業自律,更需要政府引導行業建立統一標准,筑起保護用戶隱私的堤壩。目前,歐洲監管機構已在即將出台的數據保護法規中嵌入了一套原則,規定包括“臉紋”在內的生物信息屬於其所有者,使用這些信息需要征得本人同意。

  “點點滴滴的個人隱私匯集起來就是國家信息安全。”在談劍峰等業內人士看來,最重要的是立法保護公民隱私,以及確定人臉識別等技術的使用邊界。“我國應盡快建立生物識別的法律和技術標准,比如什麼地方能用,怎麼使用﹔用什麼技術採集、達到什麼樣的安全級別、採集多少個點位的特征、信息要做多少層加密,這些都需要通過立法盡快明確。”(記者 姚玉潔 馬曉澄 龔雯 劉暢)

(責編:高黎明、張希)