“刷臉”很酷�����,但不一定靠得?�?��!有人只用10秒,就能破解你手機(jī)
每日經(jīng)濟(jì)新聞
2017-11-07 21:33:48
新科技層出不窮�,這回“刷臉”都來了。然而一群“白帽子”的黑客告訴我們���,“臉”也不能相信,他們用“2分半鐘破解人臉識別門禁”�,“打印人臉照片10秒解鎖手機(jī)”等黑客手法,給追捧“刷臉”這個概念的人沉重一擊���。這體現(xiàn)了智能化設(shè)備脆弱的一面���,就因為這樣���,相關(guān)的法律應(yīng)該盡快出臺,讓我們的臉不再“裸奔”���。
前段時間黑客們制造了令人聞風(fēng)喪膽的勒索病毒,這讓人們感到在互聯(lián)網(wǎng)時代�,無處不在的風(fēng)險。
而近日����,一群用自己黑客技術(shù)來做好事的白帽黑客們卻告訴你,連長在你身上的“臉”都不再值得信任����!他們用“2分半鐘破解人臉識別門禁”,“打印人臉照片10秒解鎖手機(jī)”等黑客手法�����,硬生生打了追捧“刷臉”概念人群的臉……
每經(jīng)小編(微信號:nbdnews)不禁惶恐,刷臉取款����、人臉解鎖、刷臉寄快遞�����、刷臉買單��、刷臉坐高鐵�����、刷臉住店……在快要到來的“看臉”時代����,我們的“臉”真的不再可信了嗎?
2.5分鐘破解“刷臉”門禁 打印照片10秒解鎖手機(jī)
“竊取關(guān)鍵人物的指紋����、虹膜、聲音(聲紋)甚至人臉信息���,突破警衛(wèi)森嚴(yán)的寶庫偷天換日”這是電影大片里的情節(jié)��。
在剛剛結(jié)束的GeekPwn2017國際安全極客大賽上�����,白帽黑客們現(xiàn)場上演“諜中諜”���,短短幾分鐘甚至幾秒鐘就能輕松攻破人臉識別、虹膜識別�����、指紋識別等生物識別系統(tǒng)���。
評委在一臺人臉識別門禁系統(tǒng)中錄入自己的臉�����,只有這張臉才能打開門禁�����。浙江大學(xué)計算機(jī)系畢業(yè)的女黑客tyy用了不到2分30秒就成功通過了刷臉機(jī)��。tyy解釋說�,她通過wifi進(jìn)入門禁系統(tǒng),利用系統(tǒng)漏洞����,直接獲取控制權(quán)限,修改人臉信息��,也就是把設(shè)備中存儲的評委人臉換成了自己的臉���。
圖片來源:視覺中國
更令人感到不安的是����,來自百度安全實驗室的“小灰灰”和高樹鵬���,用了不到10秒��,就用一張打印的照片在一定光線環(huán)境下解鎖了一部手機(jī)�����。“理論上����,只要拍到一張手機(jī)主人的清晰照片就可以解鎖了。”現(xiàn)場評委����、犇眾信息首席技術(shù)官徐昊說�。
“現(xiàn)場演示攻擊并不是要制造恐慌,而是通過發(fā)現(xiàn)漏洞�����,督促廠商改進(jìn)技術(shù)��、修復(fù)漏洞��。”GeekPwn大賽發(fā)起和創(chuàng)辦人王琦說��,大賽會將發(fā)現(xiàn)的漏洞反饋給廠商�����,讓越來越多的企業(yè)和公眾關(guān)注技術(shù)安全�����。
智能化產(chǎn)品也有脆弱的一面
“每個人只有十個指紋�、兩個虹膜、一張臉,這些暴露在外的信息一旦被破解�����,就是嚴(yán)重威脅��。”白帽黑客“小灰灰”的話說出了大眾的心聲���。
很多公司都宣稱其人臉識別準(zhǔn)確率超過99%�����,對此���,長期研究機(jī)器學(xué)習(xí)的西安交通大學(xué)電信學(xué)院特聘教授龔怡宏介紹,這指的是在一些世界知名人臉數(shù)據(jù)庫比對中取得的成績����,但在現(xiàn)實運用中,這種準(zhǔn)確度要大打折扣�����。人群樣本更大���,不同光線�、姿態(tài)、分辨率等條件都可能給機(jī)器識別帶來困難��。
圖片來源:視覺中國
并且在業(yè)界專家看來�,這是一種技術(shù)“攻防戰(zhàn)”。目前很多人臉識別公司都加大了在活體檢測上的技術(shù)投入�,確保系統(tǒng)檢測到的是一個“活人”����,提高對攻擊的防御能力。以人臉取款為例�����,農(nóng)業(yè)銀行上海分行個人金融部經(jīng)理楊晟棟告訴記者�����,人臉取款采用紅外雙目攝像頭活體檢測技術(shù)����,同時對臉部細(xì)微動作和微表情進(jìn)行檢測,識別度遠(yuǎn)高于手機(jī)攝像頭�,假臉或者照片都不可能騙過系統(tǒng)����。
那么我們的隱私會否泄露呢����?對此,上海市信息安全行業(yè)協(xié)會會長�、眾人科技董事長談劍峰說:“生物特征是唯一特征,但這反而可能是不安全的���。密碼丟失后可以設(shè)置一個新的�,但有大量生物特征信息的服務(wù)器一旦受到攻擊�,數(shù)據(jù)庫被拿走,你不可能再有第二張臉��。”
應(yīng)盡快立法防止人臉“裸奔”
對于目前手機(jī)界最火的iPhoneX的刷臉功能�,近日有媒體邀請了一對雙胞胎兄弟進(jìn)行人臉解鎖測試。
圖片來源:蘋果官網(wǎng)
首先由雙胞胎中的弟弟錄入面部圖像后�����,將手機(jī)轉(zhuǎn)交給雙胞胎哥哥后瞬時解鎖成功��;同時�����,兄弟兩人在進(jìn)行“摘眼鏡”、“戴帽子”等換裝后依舊解鎖成功���。
這樣的測試正好印證了上面所說����,智能化產(chǎn)品也有它脆弱的一面��。
王琦提醒�,不管是廠商還是消費者���,都不要出于趕時髦或者追捧概念去使用一些尚未成熟的技術(shù)�。
中科院自動化所生物識別與安全技術(shù)研究中心主任李子青等專家建議��,從安全層面考慮�����,人臉識別最好跟多種驗證方式交叉使用���,尤其是對安全要求極高的金融場景�����。比如���,為了防止照片��、視頻播放�、3D頭套等假臉攻擊��,銀行刷臉取款都同時進(jìn)行人臉識別�����、手機(jī)號碼或身份證驗證�����、密碼驗證三層防護(hù)���。
圖片來源:視覺中國
在商湯科技聯(lián)合創(chuàng)始人楊帆看來���,保護(hù)用戶隱私不僅需要企業(yè)自律,更需要政府引導(dǎo)行業(yè)建立統(tǒng)一標(biāo)準(zhǔn)�。目前��,歐洲監(jiān)管機(jī)構(gòu)已在即將出臺的數(shù)據(jù)保護(hù)法規(guī)中嵌入了一套原則�����,規(guī)定包括“臉紋”在內(nèi)的生物信息屬于其所有者�,使用這些信息需要征得本人同意����。
“點點滴滴的個人隱私匯集起來就是國家信息安全。”在談劍峰等業(yè)內(nèi)人士看來����,最重要的是立法保護(hù)公民隱私,以及確定人臉識別等技術(shù)的使用邊界�。
每經(jīng)編輯 湯亞文
每日經(jīng)濟(jì)新聞綜合自新華視點(微信號:XHSXHSD)����、成都商報等
記者:姚玉潔、馬曉澄���、龔雯��、劉暢 費成鴻
