“人脸识别”的安全问题已经来了  
第07版 上一期   下一期 上一版 下一版
  •   标题    站内高级搜索
第1465期:第07版 本期出版日期:2017-11-08

“刷脸”支付进门过程并不顺利打车软件“人脸识别”已被破解

“人脸识别”的安全问题已经来了  

□赵丽 韩朝阳

尴尬的使用体验

近日,记者来到北京市通州万达广场的京东之家体验“刷脸”支付。记者选中商品后来到支付柜台,店员优先推荐扫码支付。在记者表明要体验“刷脸”支付后,店员劝道牶“这个技术还不太成熟,步骤比较繁琐,我们自己试

了很多次,都不成功。之前也有顾客来尝试,没有支付成功。”记者执意表示愿意尝试后,店员才指导记者通过京东App扫码开通了“刷脸”支付功能,但是最终卡在了支付页面,无法付款。店员的电脑端也显示记者没有支付成功。记者随后多次退出App程序,尝试重启进入该功能,但都失败了。

店员无奈地对记者说牶“之前京东相关人员也来看过这个情况,但还是没办法成功‘刷脸’支付。今天人比较少,我们可以一直等您‘刷脸’支付,要是人多的时候,一直不能支付成功的话,后面的顾客就烦了。”最后,记者只得选择常规的扫码支付方式才完成此次购买。

同样作为使用者的北京师范大学大四学生墨桑牗化名牘,对于“刷脸”的使用感受也是一言难尽。

今年秋季学期,北京师范大学在学生公寓换装了新的门禁系统,“人脸识别”代替了之前的刷卡识别。更换识别系统后,学生进入公寓需要对着摄像头采集图像,然后刷自己的学生卡,匹配之后才能进入学生公寓。学生如果忘记带学生卡,可以输入学号的后四位,匹配成功也可以进入公寓。

墨桑对记者说牶“说是化妆或者戴眼镜都不会有影响,但是戴眼镜的话,在录入时要对戴眼镜和不戴眼镜的图像各录入一遍,传说‘亲妈都认不出来的时候,机器还能认出来’。”

在墨桑看来,如果正常识别,速度还是挺快的,但并非每次都如愿。“如果学生卡、学号都不能够与图像识别系统匹配,还有最后一招,就是对着那个机器大声喊出自己的名字。第三种开启方式让我们很尴尬,虽然这种情况不多,但是已经出现了”。

在便捷性上,墨桑说牶“识别系统本来就只是为了提高安全性的,不是为了更方便。虽然没有做过调查,但是听同学说安全性反而降低了,而且现在出公寓也要刷卡,谈不上便利。也许以后会改进,一次只放一个人进入,不过这也太麻烦了。”

“我同学普遍觉得这个系统很鸡肋,我现在觉得弊大于利,可能因为刚开始不太适应,说不定以后会改进。”墨桑说。

杂乱的产品市场

和国外的“人脸识别”技术多应用于安防领域不同,在我国,“人脸识别”技术主要应用于企业的考勤门禁、物业小区的安全防护和金融领域的开户认证等,其中金融领域的应用占比较多。不过,目前比较常见的“人脸识别”技术主要出现在考勤机等应用上。

记者以购买者的身份采访了北京市一家专业从事“人脸识别”设备销售的企业,并现场测试了一台集“门禁”“考勤”为一体的多功能考勤机。

在现场,记者首先进行人脸照片录入,主要对人脸的眼眶、鼻区以及嘴部三块区域进行图像采集。录入之后,记者站在机器前进行识别,只要一进入摄像头可照范围之内立即就被识别成功。不过,记者摘下眼镜或者更换眼镜以及调整眼镜佩戴角度后,考勤机无法识别成功。此外,用照片比对,该设备依然无法识别。

据工作人员介绍,目前“人脸识别”考勤机的价位从数百元到上万元不等,价格越高,识别的精确度越高。记者测试的这款产品是最畅销的千元机,只要脸部采集到的数据能吻合到六成以上,便能认定是同一人。不过相对而言,由于采集时拍摄下来的一些特征相对单一,所以精确度也会受到影响。

记者随后搜索“人脸识别锁”,发现这类商品品牌繁多。记者联系了销售量排名靠前的一家商铺。在演示视频中,记者看到,演示者利用人脸的照片和视频尝试多次都无法开锁。商家承诺称,如果用户在使用过程中发现可以用照片打开,他们会赔偿1万元。在商品的问答区,已经购买的网友也表示自己尝试用照片开锁,但没有成功。记者询问客服人员,这个“人脸识别”锁的原理和苹果新发布的iPhoneX手机的FaceID是否相同牽客服人员称,他们的锁“采用面部3D骨骼识别技术,红外扫描面部轮廓,化妆、灯光明暗、胖瘦等不会影响识别,可以开锁。‘人脸识别’系统是取脸上很多个点,计算各个部位的点的距离。这个算法与是否化妆没有关系,不影响识别。而且,在灯光暗的情况下也能识别,因为‘人脸识别’锁有两个带有夜视功能的红外探头,只要把脸和手掌显示在屏幕框内,照样可以识别开门。小朋友身高达到1.3米的都可以‘刷脸’”。客服人员说,“照片绝对打开不了这把锁,此锁采用是3D骨骼识别技术,戴眼镜的朋友请戴着眼镜录脸。化浓妆、发型,都能准确识别。另外,如果脸部整形动了脸部三分之二的,就有可能识别不了,需要重新录入。”

被破解的“人脸识别”

尽管“人脸识别”产品的客服人员声称一般不易被破解,但现实生活中已然出现了破解实例。

破解“人脸识别”的实例,要从一次网约车经历说起。

一名市民通过网约车App下单。很快,车到了,但车

辆、司机的信息均与手机客户端上显示的信息不符。为了赶紧回家,这名市民也顾不上太多,就直接上车了。结果,车开出去不到一分钟,司机就扭头对这名市民说要取消订单。尽管这名市民一再拒绝,但司机还是坚持把她送回原处,让她重新打出租车。

没有办法,这名市民只能再次用这款网约车软件叫车,结果发现来接他的还是那名司机。司机说牶“你要么就打个出租车回去,只要你还用这个软件约车,叫到的还是我的车。”

这名市民当时就纳闷了,为什么会这样牽一番打听后,这名市民才知道,附近有一个由30多名“黑车”司机组成的车队,每名司机都有一堆虚假的司机账号,上百个虚假账号由同一个人来统一接单,然后通过电台调度车辆去接人。因此,不管用户打到哪个号,都会调同一名司机去接人。

了解到这些内情,这名市民更加不解,“这个网约车App上明明使用了‘人脸识别’功能来验证司机信息,为什么这些司机可以使用虚假账号”牽经过一番软磨硬泡,那名司机终于透露,“人脸识别”听起来很厉害,但是他们有软件可以轻易破解。

没错,“高大上”的“人脸识别”技术就这样被一群“黑车”师傅给黑了。

以上故事是在Freebuf牗国内关注度最高的全球互联网安全媒体平台牘主办的FIT2017互联网安全创新大会上,平安科技安全研究员高亭宇在一场“关于人脸识别技术应用风险”主题演讲中的一段描述。

说完这个故事,高亭宇现场展示了那名司机用来破解“人脸识别”技术的软件———一款可以让照片“张口说话”的App。

高亭宇说,从那之后,他开始琢磨“人脸识别”技术在实际应用层面的风险,并调研了市面上使用“人脸识别”技术的软件,最后的结果出乎自己的预料。

通过分析,高亭宇发现,市面上大部分使用了“人脸识别”技术的软件,其识别流程大致相同牶检测人脸→活体检测→人脸对比牗和之前上传的自拍照或证件照牘→分析对比结果→返回结果牗通过或不通过牘。

据了解,其中“活体检测”技术即在“人脸识别”时要求用户进行眨眼、点头、张嘴等动作,以防止静态图像破解,国内多个知名App中的“人脸识别”都采用了这项技术。

在采访过程中,甚至有业内人士这样表示,“不是3D打印不行,如果用一台精密的打印机,破解‘人脸识别’同样不在话下”。

“除了一般的考勤、账号安全App之外,大量的银行、P2P金融企业的App已经介入使用了‘人脸识别’技术,其中金融行业在使用‘人脸识别’技术时的安全性明显高于一般应用;当‘人脸识别’技术涉及关键业务时,安全防护水准往往更高。”高亭宇说,比如他在测试国内某P2P金融的客户端时,尝试“人脸识别”解锁失败数次后,该App就检测出了可能存在恶意破解的情况,强制使用银行卡信息、手机短信等其他方式来完成认证。

高亭宇在现场强调了一点,除了“人脸识别”技术在手机上的应用缺陷之外,许多问题导致的原因都是开发者在调用第三方“人脸识别”服务时,没有严格按照一个安全的规范来做,接入流程不够严谨,甚至经常出现为了提高用户体验而舍弃安全性的做法,这样的做法在技术实力不强的小公司十分常见,最终导致的结果就是,让用户把密码写在了自己的脸上。

(摘自《法制日报》)

  
                     
友情链接
即墨政务网  -  中国即墨网  -  金启程科技  -  蛙盟云  -  xpaper数字报刊云 

Copyright © 2011 新即墨报 Corporation, All Rights Reserved  
地址:中国山东省青岛市即墨区振华街130号   邮编:266200  电话:0532-88553378  传真:0532-88553378  邮箱:xjmbjb@163.com