2分半鐘破解人臉識別門禁,打印照片10秒鐘解鎖手機……“黑客”們的一場場現(xiàn)場秀提醒消費者:人臉識別等生物識別技術(shù)可能潛藏安全風(fēng)險和隱私問題,,刷臉要謹慎,,畢竟,“丟了密碼可以重新設(shè)置,,臉‘丟’了就找不回來了”,。
【智能】
2分半鐘破解人臉識別門禁 打印照片10秒解鎖手機
竊取關(guān)鍵人物的指紋、虹膜,、聲音(聲紋)甚至人臉信息,,突破警衛(wèi)森嚴的寶庫偷天換日,,這是電影大片里的情節(jié)。在剛剛結(jié)束的Geekpwn2017國際安全極客大賽上,,白帽黑客們現(xiàn)場上演“諜中諜”,短短幾分鐘甚至幾秒鐘就能輕松攻破人臉識別,、虹膜識別,、指紋識別等生物識別系統(tǒng)。
評委在一臺人臉識別門禁系統(tǒng)中錄入自己的臉,,只有這張臉才能打開門禁,。浙江大學(xué)計算機系畢業(yè)的女黑客tyy用了不到2分30秒就成功通過了刷臉機。tyy解釋說,,她通過wifi進入門禁系統(tǒng),,利用系統(tǒng)漏洞,直接獲取控制權(quán)限,,修改人臉信息,,也就是把設(shè)備中存儲的評委人臉換成了自己的臉。
更令人感到不安的是,,來自百度安全實驗室的“小灰灰”和高樹鵬,,用了不到10秒,就用一張打印的照片在一定光線環(huán)境下解鎖了一部手機,。“理論上,,只要拍到一張手機主人的清晰照片就可以解鎖了。”現(xiàn)場評委,、?眾信息首席技術(shù)官徐昊說,。
“現(xiàn)場演示攻擊并不是要制造恐慌,而是通過發(fā)現(xiàn)漏洞,,督促廠商改進技術(shù),、修復(fù)漏洞。”Geekpwn大賽發(fā)起和創(chuàng)辦人王琦說,,大賽會將發(fā)現(xiàn)的漏洞反饋給廠商,,讓越來越多的企業(yè)和公眾關(guān)注技術(shù)安全。
【安全】
智能化人臉識別 安全方面仍存在漏洞
“每個人只有十個指紋,、兩個虹膜,、一張臉,這些暴露在外的信息一旦被破解,,就是嚴重威脅,。”白帽黑客“小灰灰”的話說出了大眾的心聲:看起來高大上又方便的人臉識別技術(shù)安全嗎?智能度越高的產(chǎn)品,,安全會不會越脆弱,?
技術(shù)是否成熟,?
很多公司都宣稱其人臉識別準確率超過99%,對此,,長期研究機器學(xué)習(xí)的西安交通大學(xué)電信學(xué)院特聘教授龔怡宏稱,,這指的是在一些世界知名人臉數(shù)據(jù)庫比對中取得的成績,但在現(xiàn)實運用中,,這種準確度要大打折扣,。人群樣本更大,不同光線,、姿態(tài),、分辨率等條件都可能給機器識別帶來困難。
安全是否可控,?
小偷有沒有可能用假臉欺騙門禁進入小區(qū),?金融罪犯會不會用“仿冒人臉”登錄銀行系統(tǒng)竊取錢財?在業(yè)界專家看來,,這是一種技術(shù)“攻防戰(zhàn)”,。目前很多人臉識別公司都加大了在活體檢測上的技術(shù)投入,確保系統(tǒng)檢測到的是一個“活人”,,提高對攻擊的防御能力,。以人臉取款為例,農(nóng)業(yè)銀行上海分行個人金融部經(jīng)理楊晟棟告訴記者,,人臉取款采用紅外雙目攝像頭活體檢測技術(shù),,同時對臉部細微動作和微表情進行檢測,識別度遠高于手機攝像頭,,假臉或者照片都不可能騙過系統(tǒng),。
隱私會否泄露?
上海市信息安全行業(yè)協(xié)會會長,、眾人科技董事長談劍峰說:“生物特征是唯一特征,,但這反而可能是不安全的。密碼丟失后可以設(shè)置一個新的,,但有大量生物特征信息的服務(wù)器一旦受到攻擊,,數(shù)據(jù)庫被拿走,你不可能再有第二張臉,。”
【看法】
多重驗證方式交叉使用 人臉識別應(yīng)盡快立法
專家表示,,任何技術(shù)都是在攻防的過程中不斷演變升級,最終在安全性和便捷性之間達到平衡,。“世界上沒有完美的技術(shù),,如果在特定的場景下,一項新技術(shù)的準確度能夠滿足要求,錯誤帶來的風(fēng)險可以承受,,那它就是有價值的,。”奇虎360公司副總裁、新加坡國立大學(xué)教授顏水成說,。
中科院自動化所生物識別與安全技術(shù)研究中心主任李子青等專家建議,,從安全層面考慮,人臉識別最好跟多種驗證方式交叉使用,,尤其是對安全要求極高的金融場景,。比如,為了防止照片,、3D頭套等假臉攻擊,銀行刷臉取款都同時進行人臉識別,、手機號碼或身份證驗證,、密碼驗證三層防護。
盡管很多廠商宣稱自己對采集的照片和人臉生物特征會進行脫敏處理,,但在商湯科技聯(lián)合創(chuàng)始人楊帆看來,,保護用戶隱私不僅需要企業(yè)自律,更需要政府引導(dǎo)行業(yè)建立統(tǒng)一標準,。目前,,歐洲監(jiān)管機構(gòu)已在即將出臺的數(shù)據(jù)保護法規(guī)中嵌入了一套原則,規(guī)定包括“臉紋”在內(nèi)的生物信息屬于其所有者,,使用這些信息需要征得本人同意,。
在談劍峰等業(yè)內(nèi)人士看來,重要的是立法保護公民隱私,,以及確定人臉識別等技術(shù)的使用邊界,。“我國應(yīng)盡快建立生物識別的法律和技術(shù)標準,比如什么地方能用,,怎么使用,;用什么技術(shù)采集、達到什么樣的安全級別,、采集多少個點位的特征,、信息要做多少層加密,這些都需要通過立法盡快明確,。” (據(jù)新華社)